Kerberos-Authentifizierung für SQL OLTP (SharePoint Server 2010)

Werbung
Konfigurieren der Kerberos-Authentifizierung
für SharePoint 2010-Produkte
Microsoft Corporation
Veröffentlichung: Juli 2010
Aktualisiert: April 2012
Autor: Tom Wisnowski. Mitwirkende: Philippe-Joseph Arida, Luca Bandinelli, Kevin
Donovan, Pej Javaheri , Denny Lee, Cephas Lin, Dave Manning, Carl Rabeler, Prash
Shirolkar, Norm Warren, Josh Zimmerman. ([email protected])
Zusammenfassung
In diesem Dokument wird das Konzept der Identität in Microsoft SharePoint 2010Produkten erklärt. Die vorliegenden Informationen helfen Ihnen außerdem, zu
verstehen, welche wichtige Rolle die Kerberos-Authentifizierung in Authentifizierungsund Delegierungsszenarien spielt und in welchen Situationen KerberosAuthentifizierung in Lösungsentwürfen verwendet werden sollte oder benötigt wird.
Als Beispiele für entsprechende Szenarien dienen u. a. Business IntelligenceImplementierungen, die den Zugriff auf externe Datenquellen wie etwa SQL Server
schützen. In diesem Dokument wird auch die durchgehende Konfiguration der KerberosAuthentifizierung in einer Umgebung erläutert, einschließlich Szenarien, in denen
verschiedene Dienstanwendungen in Microsoft SharePoint Server verwendet werden.
Zusätzliche Tools und Ressourcen werden beschrieben, die Ihnen beim Testen und
Validieren der Kerberos-Konfiguration helfen.
1
Dieses Dokument wird wie besehen bereitgestellt. Die in diesem Dokument enthaltenen
Informationen und Ansichten, einschließlich URLs und Verweise auf Internetwebsites, können
ohne vorherige Ankündigung geändert werden. Das Risiko der Nutzung liegt bei Ihnen.
Einige Beispiele sind frei erfunden, soweit nichts anderes angegeben ist. Jede Ähnlichkeit
mit der Realität ist rein zufällig.
Mit diesem Dokument werden keine Rechte an geistigem Eigentum an einem MicrosoftProdukt auf Sie übertragen. Sie sind berechtigt, dieses Dokument zu kopieren und für
eigene interne Referenzzwecke zu nutzen.
© 2010 Microsoft Corporation. Alle Rechte vorbehalten.
Microsoft, Active Directory, Excel, Internet Explorer, Outlook, PerformancePoint,
SharePoint, Windows und Windows PowerShell sind entweder eingetragene Marken
oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern.
Die in diesem Dokument enthaltenen Informationen stellen die behandelten Themen aus
der Sicht der Microsoft Corporation zum Zeitpunkt der Veröffentlichung dar. Da
Microsoft auf sich ändernde Marktanforderungen reagieren muss, stellt dies keine
Verpflichtung seitens Microsoft dar, und Microsoft kann die Richtigkeit der hier
dargelegten Informationen nach dem Zeitpunkt der Veröffentlichung nicht garantieren.
2
Inhaltsverzeichnis
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte ........ 7
Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (Übersicht).. 8
Wer sollte diese Artikel zur Kerberos-Authentifizierung lesen?............................. 9
Vom Anfang bis zum Ende ...................................................................................... 9
Upgrade von Office SharePoint Server 2007........................................................ 9
Schrittweise exemplarische Vorgehensweise ..................................................... 10
Vorhandene Umgebung mit SharePoint 2010-Produkten................................. 11
Identitätsszenarien in SharePoint 2010-Produkten ............................................... 11
Eingehende Identität ............................................................................................... 12
Identität in einer SharePoint 2010-Produkte-Umgebung .................................. 16
Ausgehende Identität .............................................................................................. 17
Delegierung über Domänen- und Gesamtstrukturgrenzen hinaus .................. 20
Einführung in Ansprüche ........................................................................................... 21
Einführung in das Kerberos-Protokoll ...................................................................... 21
Vorteile des Kerberos-Protokolls .............................................................................. 21
Kerberos-Delegierung, eingeschränkte Delegierung und Protokollübergang ... 22
Änderungen bei der Kerberos-Authentifizierung in Windows 2008 R2 und
Windows 7 ................................................................................................................ 24
Änderungen bei der Kerberos-Konfiguration in SharePoint 2010-Produkten ... 24
Überlegungen beim Upgrade von Office SharePoint Server 2007 ..................... 25
Konfigurieren der Kerberos-Authentifizierung: Schritt-für-Schritt-Anleitung
(SharePoint Server 2010) .......................................................................................... 26
Umgebung und Farmtopologie ................................................................................. 26
Spezifikation der Umgebung.................................................................................. 28
Spezifikation der Webanwendung ............................................................................ 29
SSL-Konfiguration ................................................................................................... 31
Lastenausgleich ....................................................................................................... 32
SQL--Aliasing .............................................................................................................. 32
SharePoint Server Services und Dienstkonten ...................................................... 33
Dienstidentität für den Forderungen an den Windows-Tokendienst (C2WTS) . 34
3
Tipps zum Durcharbeiten der Szenarien................................................................. 35
Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint
Server 2010) ................................................................................................................ 37
Checkliste für die Konfiguration ................................................................................ 38
Schrittweise Konfigurationsanweisungen ............................................................... 40
Konfigurieren von DNS ........................................................................................... 40
Konfigurieren von Active Directory ....................................................................... 41
Konfigurieren von SharePoint Server ................................................................... 52
IIS-Konfiguration ...................................................................................................... 60
Konfigurieren der Firewall ...................................................................................... 63
Testen der Browserauthentifizierung.................................................................... 65
Testen der Kerberos-Authentifizierung über SSL............................................... 79
Testen von SharePoint Server-Suchindex und -abfrage................................... 80
Testen der Front-End-Webserverdelegierung .................................................... 83
Kerberos-Authentifizierung für SQL OLTP (SharePoint Server 2010)................... 86
Checkliste für die Konfiguration ................................................................................ 87
Details der Szenarioumgebung ................................................................................ 88
Schrittweise Konfigurationsanweisungen ............................................................... 88
Konfigurieren von DNS ........................................................................................... 88
Konfigurieren von Active Directory ....................................................................... 89
Überprüfen der SQL Server-Kerberos-Konfiguration......................................... 90
Erstellen einer SQL Server-Testdatenbank sowie einer Testtabelle............... 92
Kerberos-Authentifizierung für SQL Server Analysis Services (SharePoint Server
2010) ............................................................................................................................. 94
Checkliste für die Konfiguration ................................................................................ 94
Schrittweise Konfigurationsanweisungen ............................................................... 95
Konfigurieren von Active Directory ....................................................................... 95
Überprüfen der SQL Server-Kerberos-Konfiguration......................................... 96
Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server
2010) ............................................................................................................................. 99
Voraussetzungen für dieses Szenario ................................................................... 100
Checkliste für die Konfiguration .............................................................................. 100
Details der Szenarioumgebung .............................................................................. 101
4
Domänenübergreifende Kerberos-Delegierung ................................................... 101
Schrittweise Konfigurationsanweisungen ............................................................. 102
Konfigurieren von DNS ......................................................................................... 102
Active Directory-Verzeichnisdienst ..................................................................... 103
SQL Server Reporting Services .......................................................................... 110
Konfigurieren von SharePoint Server ................................................................. 112
Überprüfen der Konfiguration .............................................................................. 115
SSL-Konfiguration für Reporting Services ............................................................ 127
Identitätsdelegierung für Excel Services (SharePoint Server 2010) .................... 130
Voraussetzungen für dieses Szenario ................................................................... 130
Checkliste für die Konfiguration .............................................................................. 130
Details der Szenarioumgebung ........................................................................... 132
Logische SharePoint Server-Authentifizierung ................................................. 133
Schrittweise Konfigurationsanweisungen ............................................................. 134
Active Directory-Konfiguration ............................................................................. 134
SharePoint Server-Konfiguration ........................................................................ 140
Überprüfen der eingeschränkten Excel Services-Delegierung ...................... 152
Identitätsdelegierung für PowerPivot für SharePoint 2010 (SharePoint Server
2010) ........................................................................................................................... 158
Szenarien, in denen die Kerberos-Authentifizierung erforderlich ist ................. 159
Voraussetzungen für dieses Szenario ................................................................... 161
Konfigurationsanweisungen .................................................................................... 161
Identitätsdelegierung für Visio Services (SharePoint Server 2010) ..................... 162
Voraussetzungen für dieses Szenario ................................................................... 162
Checkliste für die Konfiguration .............................................................................. 162
Details der Szenarioumgebung .............................................................................. 164
Pfade der eingeschränkten Kerberos-Delegierung .......................................... 164
Logische SharePoint Server-Authentifizierung ................................................. 164
Schrittweise Konfigurationsanweisungen ............................................................. 165
Active Directory-Konfiguration ............................................................................. 165
SharePoint Server-Konfiguration ........................................................................ 171
Überprüfen der eingeschränkten Delegierung für den Visio-Grafikdienst .... 179
Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010)
..................................................................................................................................... 191
5
Voraussetzungen für dieses Szenario ................................................................... 191
Checkliste für die Konfiguration .............................................................................. 192
Details der Szenarioumgebung .............................................................................. 193
Pfade der eingeschränkten Kerberos-Delegierung .......................................... 193
Logische SharePoint Server-Authentifizierung ................................................. 194
Schrittweise Konfigurationsanweisungen ............................................................. 195
Active Directory-Konfiguration ............................................................................. 195
SharePoint Server-Konfiguration ........................................................................ 201
Überprüfen der eingeschränkten PerformancePoint Services-Delegierung 215
Identitätsdelegierung für Business Connectivity Services (SharePoint Server
2010) ........................................................................................................................... 222
Voraussetzungen für dieses Szenario ................................................................... 223
Checkliste für die Konfiguration .............................................................................. 223
Details der Szenarioumgebung .............................................................................. 224
Schrittweise Konfigurationsanweisungen ............................................................. 224
Active Directory-Konfiguration ............................................................................. 224
SharePoint Server-Konfiguration ........................................................................ 230
Überprüfung ........................................................................................................... 232
Bekannte Kerberos-Konfigurationsprobleme (SharePoint Server 2010)............. 247
Kerberos-Authentifizierung und Nicht-Standardports.......................................... 247
Kerberos-Authentifizierung und DNS CNAMEs ................................................... 249
Kerberos- und Kernelmodusauthentifizierung ...................................................... 250
Kerberos- und sitzungsbasierte Authentifizierung ............................................... 251
Kerberos-Authentifizierung und Probleme mit doppelten/fehlenden
Dienstprinzipalnamen ........................................................................................... 252
Maximale Größe des Kerberos-Tokens ................................................................ 253
Hotfixes für die Kerberos-Authentifizierung für Windows Server 2008 und
Windows Vista ....................................................................................................... 253
Zurücksetzen des C2WTS-Kontos (SharePoint Server 2010) .............................. 254
Lösung ........................................................................................................................ 254
6
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Konfigurieren der KerberosAuthentifizierung für SharePoint 2010Produkte
Veröffentlichung: 15.07.10
In diesem Dokument wird das Konzept der Identität in Microsoft SharePoint 2010Produkten erklärt. Die vorliegenden Informationen helfen Ihnen außerdem, zu
verstehen, welche wichtige Rolle die Kerberos-Authentifizierung in Authentifizierungsund Delegierungsszenarien spielt und in welchen Situationen KerberosAuthentifizierung in Lösungsentwürfen verwendet werden sollte oder benötigt wird.
Als Beispiele für entsprechende Szenarien dienen u. a. Business IntelligenceImplementierungen, die den Zugriff auf externe Datenquellen wie etwa SQL Server
schützen.
In diesem Dokument wird auch die durchgehende Konfiguration der KerberosAuthentifizierung in einer Umgebung erläutert, einschließlich Szenarien, in denen
verschiedene Dienstanwendungen in Microsoft SharePoint Server verwendet werden.
Zusätzliche Tools und Ressourcen werden beschrieben, die Ihnen beim Testen und
Validieren der Kerberos-Konfiguration helfen. In den Abschnitten „Schrittweise
Konfiguration“ in diesem Dokument werden die folgenden Szenarien für SharePoint
Server 2010 behandelt.

Szenario 1: Kernkonfiguration

Szenario 2: Kerberos-Authentifizierung für SQL OLTP

Szenario 3: Szenario 3: Identitätsdelegierung für SQL Analysis Services

Szenario 4: Identitätsdelegierung für SQL Reporting Services

Szenario 5: Identitätsdelegierung für Excel Services

Szenario 6: Identitätsdelegierung für PowerPivot für SharePoint 2010

Szenario 7: Identitätsdelegierung für Visio Services

Szenario 8: Identitätsdelegierung für PerformancePoint Services

Szenario 9: Identitätsdelegierung für Business Connectivity Services
7
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Dieselben Information zur Konfiguration der Kerberos-Authentifizierung für SharePoint
2010-Produkte finden Sie in der TechNet-Bibliothek in Form einer Artikelgruppe, die hier
beginnt: Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (Übersicht).
Kerberos-Authentifizierung für Microsoft
SharePoint 2010-Produkte (Übersicht)
Veröffentlichung: 02.12.10
In Microsoft SharePoint 2010-Produkten gibt es wichtige Verbesserungen beim
Verwalten der Identität in der Plattform. Sie müssen unbedingt wissen, wie sich diese
Änderungen auf den Lösungsentwurf und die Plattformkonfiguration auswirken, um
Szenarien zu ermöglichen, in denen die Benutzeridentität an integrierte Systeme
delegiert werden muss. Das Kerberos 5-Protokoll spielt eine wichtige Rolle, um die
Delegierung zu ermöglichen, und ist für diese Szenarien möglicherweise notwendig.
In dieser Artikelfolge finden Sie Informationen zu folgenden Themen:

Grundlegendes zum Identitätskonzept in SharePoint 2010-Produkten

Informationen zur wichtigen Rolle der Kerberos-Authentifizierung in
Authentifizierungs- und Delegierungsszenarien

Identifizieren der Situationen, in denen die Kerberos-Authentifizierung in
Lösungsentwürfen verwendet werden sollte oder benötigt wird

Durchgängiges Konfigurieren der Kerberos-Authentifizierung in einer Umgebung,
einschließlich Szenarien, in denen verschiedene Dienstanwendungen in SharePoint
Server verwendet werden

Testen und Überprüfen, ob die Kerberos-Authentifizierung ordnungsgemäß
konfiguriert ist und erwartungsgemäß ausgeführt wird

Suchen nach zusätzlichen Tools und Ressourcen zum Konfigurieren der KerberosAuthentifizierung in Ihrer Umgebung
Diese Artikelfolge ist in zwei Hauptabschnitte unterteilt:

Diese Übersicht über die Kerberos-Authentifizierung in SharePoint 2010-Produkten
8
Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (Übersicht)
Dieser Artikel enthält konzeptionelle Informationen zum Verwalten der Identität in
SharePoint 2010, zum Kerberos-Protokoll sowie zur wichtigen Rolle der KerberosAuthentifizierung in SharePoint 2010-Lösungen.

Schritt-für-Schritt-Anleitung für die Konfiguration
In dieser Artikelfolge werden die erforderlichen Schritte zum Konfigurieren der
Kerberos-Authentifizierung und -Delegierung in verschiedenen SharePointLösungsszenarien behandelt.
Wer sollte diese Artikel zur KerberosAuthentifizierung lesen?
Identität und Delegierung nehmen in SharePoint 2010-Produkten einen wichtigen Platz
ein und weisen viele Facetten und Bedeutungen auf. In dieser Artikelfolge werden die
konzeptionellen und technischen Aspekte dieses Themas erläutert, wobei die
Anforderungen verschiedener Zielgruppen berücksichtigt werden:
Vom Anfang bis zum Ende
„Ich möchte alles über Identität und die Kerberos-Authentifizierung in SharePoint 2010Produkten wissen“
Wenn Sie sich gerade erst mit den SharePoint 2010-Produkten, der KerberosAuthentifizierung und der anspruchsbasierten Authentifizierung vertraut machen, sollten
Sie den ersten Abschnitt dieses Dokuments lesen. Hier werden die grundlegenden
Konzepte der Identität und Delegierung behandelt und die anspruchsbasierte
Authentifizierung und die Kerberos-Authentifizierung vorgestellt. Folgen Sie unbedingt
den Links zu externen Artikeln und zusätzlichen Informationen, um sich gründlich zu
informieren, bevor Sie mit den Artikeln zur schrittweisen Konfiguration fortfahren.
Upgrade von Office SharePoint Server 2007
„Ich möchte wissen, was sich seit der Version 2007 geändert hat und worauf ich mich
beim Upgrade auf die Version 2010 vorbereiten sollte“
Wenn Sie über eine vorhandene Microsoft Office SharePoint Server 2007-Umgebung
verfügen, für die bereits die Kerberos-Authentifizierung und Kerberos-Delegierung
konfiguriert ist, sollten Sie die folgenden Abschnitte lesen:
9
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte

Identitätsszenarien in SharePoint 2010-Produkten

Einführung in Ansprüche

Änderungen bei der Kerberos-Authentifizierung in Windows 2008 R2 und Windows 7

Änderungen bei der Kerberos-Konfiguration in SharePoint 2010-Produkten

Überlegungen beim Upgrade von Office SharePoint Server 2007
Falls Sie zusätzliche Fragen zur Konfigurationsdelegierung für ein bestimmtes Feature
oder Szenario haben, sollten Sie die Artikel zur schrittweisen Konfiguration lesen,
insbesondere die Konfigurationsprüflisten. Dadurch können Sie sicherstellen, dass Ihre
Umgebung nach dem Upgrade ordnungsgemäß konfiguriert ist.
Schrittweise exemplarische Vorgehensweise
„Ich wünsche ausführliche schrittweise Anleitungen zum Konfigurieren der KerberosDelegierung in SharePoint Server und entsprechenden SharePoint ServerDienstanwendungen“
In den Artikeln zur schrittweisen Konfiguration werden mehrere Szenarien mit
SharePoint 2010-Produkten behandelt, für die die Verwendung der KerberosDelegierung konfiguriert werden kann. Jedes Szenario wird ausführlich erörtert,
einschließlich einer Konfigurationsprüfliste und schrittweiser Anleitungen, damit Sie die
Kerberos-Authentifizierung in Ihrer Umgebung erfolgreich konfigurieren können. Die
folgenden Szenarien werden behandelt:

Szenario 1: Kernkonfiguration

Szenario 2: Kerberos-Authentifizierung für SQL OLTP

Szenario 3: Kerberos-Authentifizierung für SQL Server Analysis Services

Szenario 4: Identitätsdelegierung für SQL Server Reporting Services

Szenario 5: Identitätsdelegierung für Excel Services

Szenario 6: Identitätsdelegierung für PowerPivot für SharePoint 2010

Szenario 7: Identitätsdelegierung für Visio Services

Szenario 8: Identitätsdelegierung für PerformancePoint Services

Szenario 9: Identitätsdelegierung für Business Connectivity Services
10
Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (Übersicht)
Lesen Sie das erste Kernkonfigurationsszenario unbedingt gründlich durch, da alle
nachfolgenden Szenarien darauf aufbauen.
Hinweis
Die Szenarien enthalten SetSPN-Befehle, die Sie in diesem Dokument kopieren und in
einem Eingabeaufforderungsfenster einfügen können. Diese Befehle enthalten
Bindestriche. In Microsoft Word gibt es ein AutoFormat-Feature, mit dem Bindestriche
normalerweise in Gedankenstriche konvertiert werden. Falls dieses Feature in Word
aktiviert ist und Sie dann einen Vorgang zum Kopieren und Einfügen ausführen, werden
die Befehle nicht ordnungsgemäß ausgeführt. Ändern Sie die Gedankenstriche in
Bindestriche, um diesen Fehler zu beheben. Zum Deaktivieren des AutoFormat-Features
in Word klicken Sie im Menü Datei auf Optionen, klicken Sie auf die Registerkarte
Dokumentprüfung, und öffnen Sie dann das Dialogfeld AutoKorrektur.
Vorhandene Umgebung mit SharePoint 2010-Produkten
„Ich verfüge über eine vorhandene Umgebung mit SharePoint 2010-Produkten, und die
Kerberos-Authentifizierung wird nicht ordnungsgemäß ausgeführt. Wie kann ich die
Konfiguration überprüfen und debuggen?“
In den Artikeln unter Schrittweise Konfiguration finden Sie mehrere Prüflisten zum
Auswählen Ihrer Umgebung in verschiedenen Szenarien. Beachten Sie insbesondere
Szenario 1, Kernkonfiguration, in dem grundlegende Tools und Techniken zum
Selektieren der Kerberos-Konfiguration behandelt werden.
Identitätsszenarien in SharePoint 2010Produkten
Wenn Sie sich mit dem Konzept der Identität im Zusammenhang mit der
Authentifizierung in SharePoint Server-Produkten vertraut machen, können Sie sich in
den folgenden drei wichtigen Szenarien anschauen, wie die Identität von der Plattform
behandelt wird: eingehende Authentifizierung, Authentifizierung innerhalb und
zwischen Farmen sowie ausgehende Authentifizierung.
11
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Clients
SharePoint Farm
Classic (Windows Auth)
External System
Classic (Windows Auth)
Claims
Claims
Incoming
Authentication
Claims
Intra/Inter Farm
Authentication
Outgoing
Authentiction
Eingehende Identität
Im Szenario für die eingehende Authentifizierung wird veranschaulicht, wie ein Client
die Identität gegenüber der Plattform präsentiert oder anders ausgedrückt für die
Webanwendung oder den Webdienst authentifiziert wird. SharePoint Server autorisiert
mithilfe der Identität des Clients dessen Zugriff auf mit SharePoint Server gesicherte
Ressourcen, wie beispielsweise Webseiten, Dokumente usw.
SharePoint Server 2010-Produkte unterstützen zwei Modi zum Authentifizieren eines Clients
für die Plattform, nämlich den klassischen Modus und den anspruchsbasierten Modus.
Klassischer Modus
Der klassische Modus ermöglicht die typischen IIS-Authentifizierungsmethoden
(Internetinformationsdienste, Internet Information Services), mit denen Sie
möglicherweise bereits aus früheren Versionen von SharePoint Server vertraut sind.
Wenn für eine SharePoint Server 2010-Webanwendung die Verwendung des klassischen
Modus konfiguriert ist, können Sie die folgenden IIS-Authentifizierungsmethoden
verwenden:
Integrierte Windows-Authentifizierung
Mit der integrierten Windows-Authentifizierung können Windows-Clients nahtlos mit
SharePoint Server authentifiziert werden, ohne dass Anmeldeinformationen
(Benutzername/Kennwort) manuell bereitgestellt werden müssen. Benutzer, die über
das Internet Explorer auf SharePoint Server zugreifen, authentifizieren sich anhand der
Anmeldeinformationen, unter denen der Internet Explorer-Prozess ausgeführt wird.
12
Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (Übersicht)
Dies sind standardmäßig die Anmeldeinformationen, mit denen sich der Benutzer am
Desktop angemeldet hat. Dienste oder Anwendungen, die im integrierten WindowsAuthentifizierungsmodus auf SharePoint Server zugreifen, versuchen sich mit den
Anmeldeinformationen des ausgeführten Threads anzumelden, der standardmäßig der
Identität des Prozesses entspricht.
NTLM
Der NT-LAN-Manager (NTLM) ist der Standardprotokolltyp, wenn die integrierte
Windows-Authentifizierung ausgewählt ist. Dieses Protokoll nutzt eine dreiteilige
Abfrage/Rückmeldung-Sequenz zum Authentifizieren von Clients. Weitere
Informationen zu NTLM finden Sie unter Microsoft NTLM
(http://go.microsoft.com/fwlink/?LinkId=196643&clcid=0x407).
Vorteile

Dieses Protokoll ist einfach zu konfigurieren und erfordert in der Regel keine
zusätzliche Konfiguration der Infrastruktur oder Umgebung.

Es kann verwendet werden, wenn der Client nicht der Domäne angehört oder wenn
er sich nicht in einer Domäne befindet, die für die Domäne, in der sich SharePoint
Server befindet, vertrauenswürdig ist.
Nachteile:

SharePoint Server muss den Domänencontroller jedes Mal kontaktieren, wenn eine
Clientauthentifizierungsantwort überprüft werden muss, wodurch der Datenverkehr
auf den Domänencontrollern zunimmt.

Die Delegierung von Clientanmeldeinformationen an die Back-End-Systeme ist nicht
zulässig, was auch als Doppel-Hop-Regel bezeichnet wird. Es handelt sich hierbei um
ein geschütztes Protokoll.

Es handelt sich hierbei um ein geschütztes Protokoll.

Die Serverauthentifizierung wird nicht unterstützt.

Es gilt als nicht so sicher wie die Kerberos-Authentifizierung.
Kerberos-Protokoll
Bei Kerberos handelt es sich um ein sichereres Protokoll, das das AuthentifizierungsTicketing unterstützt. Ein Kerberos-Authentifizierungsserver erteilt ein Ticket als Antwort
auf eine Authentifizierungsanforderung eines Clientcomputers, falls die Anforderung
13
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
gültige Benutzeranmeldeinformationen und einen gültigen Dienstprinzipalnamen
(Service Principal Name, SPN) enthält. Der Clientcomputer verwendet das Ticket für den
Zugriff auf Netzwerkressourcen. Damit Kerberos-Authentifizierung unterstützt wird,
müssen der Client- und der Servercomputer über eine vertrauenswürdige Verbindung
zum Schlüsselverteilungscenter (Key Distribution Center, KDC) der Domäne verfügen. Das
KDC verteilt freigegebene geheime Schlüssel, um die Verschlüsselung zu ermöglichen.
Darüber hinaus müssen Client- und Servercomputer auf Active DirectoryVerzeichnisdienste (Active Directory Domain Services, AD DS) zugreifen können. Für AD
DS ist die Gesamtstruktur-Stammdomäne das Zentrum für KerberosAuthentifizierungsverweise. Weitere Informationen zum Kerberos-Protokoll finden Sie
unter Funktionsweise des Kerberos 5-Authentifizierungsprotokolls
(http://go.microsoft.com/fwlink/?LinkId=196644&clcid=0x407) und Microsoft Kerberos.
(http://go.microsoft.com/fwlink/?LinkId=196645&clcid=0x407)
Vorteile

Sicherstes Protokoll für die integrierte Windows-Authentifizierung

Ermöglicht die Delegierung von Clientanmeldeinformationen

Unterstützt die gegenseitige Authentifizierung von Clients und Servern

Erzeugt weniger Datenverkehr auf den Domänencontrollern

Offenes Protokoll, das von vielen Plattformen und Herstellern unterstützt wird
Nachteile:

Erfordert die zusätzliche Konfiguration von Infrastruktur und Umgebung

Die Clients müssen mit dem KDC (Active Directory-Domänencontroller in WindowsUmgebungen) über den TCP/UDP-Port 88 (Kerberos) bzw. den TCP/UDP-Port 464
(Kerberos – Kennwort ändern – Windows) verbunden sein
Andere Methoden
Neben der NTLM- und Kerberos-Authentifizierung unterstützt SharePoint Server weitere
IIS-Authentifizierungsmethoden wie beispielsweise die Standardauthentifizierung, die
Digestauthentifizierung und die zertifikatbasierte Authentifizierung, die in diesem
Dokument nicht behandelt werden. Weitere Informationen zur Funktionsweise dieser
Protokolle finden Sie unter In IIS 6.0 unterstützte Authentifizierungsmethoden (IIS 6.0)
(http://go.microsoft.com/fwlink/?linkid=196646&clcid=0x407).
14
Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (Übersicht)
Anspruchsbasierte Authentifizierung
Die Unterstützung der anspruchsbasierten Authentifizierung ist ein neues Feature in
SharePoint 2010-Produkten und basiert auf Windows Identity Foundation (WIF). Bei
einem Anspruchsmodell akzeptiert SharePoint Server einen oder mehrere Ansprüche zu
einem authentifizierenden Client, um den Client zu identifizieren und autorisieren. Die
Ansprüche liegen als SAML-Token vor und stellen Fakten zu dem Client dar, die von
einer vertrauenswürdigen Zertifizierungsstelle präsentiert werden. Beispielsweise
könnte in einem Anspruch Folgendes angegeben sein: „Paul ist Mitglied der Gruppe
„Organisations-Admins“ für die Domäne „Contoso.com“. Wenn dieser Anspruch von
einem Anbieter stammt, dem SharePoint Server vertraut, könnte die Plattform anhand
dieser Informationen Paul authentifizieren und ihm den Zugriff auf SharePoint ServerRessourcen erlauben. Weitere Informationen zur anspruchsbasierten Authentifizierung
finden Sie unter Handbuch zur anspruchsbasierten Identitäts- und Zugriffssteuerung
(http://go.microsoft.com/fwlink/?linkid=187911&clcid=0x407).
Von SharePoint 2010-Produkten werden für die eingehende Authentifizierung die
folgenden Ansprüche unterstützt: Windows-Ansprüche, formularbasierte
Authentifizierungsansprüche sowie SAML-Ansprüche.
Windows-Ansprüche
Im Windows-Anspruchsmodus wird der Client von SharePoint Server mithilfe der
standardmäßigen integrierten Windows-Authentifizierung (NTLM/Kerberos)
authentifiziert, und anschließend wird die resultierende Windows-Identität in eine
Anspruchsidentität umgewandelt.
Formularbasierte Authentifizierungsansprüche
Im formularbasierten Authentifizierungsanspruchsmodus wird der Client von SharePoint
Server an eine Anmeldeseite umgeleitet, auf der die standardmäßigen ASP.NETAnmeldesteuerelemente gehostet werden. Auf dieser Seite wird der Client mithilfe der
ASP.NET-Mitgliedschafts- und Rollenanbieter authentifiziert, ähnlich wie bei der
formularbasierten Authentifizierung in Office SharePoint Server 2007. Nachdem das
Identitätsobjekt, das den Benutzer repräsentiert, erstellt wurde, wird diese Identität von
SharePoint Server in ein Anspruchsidentitätsobjekt umgewandelt.
SAML-Ansprüche
Im SAML-Anspruchsmodus akzeptiert SharePoint Server SAML-Token von einem
vertrauenswürdigen externen Sicherheitstokenanbieter (Security Token Provider, STS).
Wenn sich der Benutzer anzumelden versucht, wird er an einen externen
15
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Anspruchsanbieter (z. B. den Windows Live ID-Anspruchsanbieter) umgeleitet, der den
Benutzer authentifiziert und ein SAML-Token erstellt. SharePoint Server akzeptiert und
verarbeitet dieses Token, wobei die Ansprüche erweitert werden und ein
Anspruchsidentitätsobjekt für den Benutzer erstellt wird.
Weitere Informationen zur anspruchsbasierten Authentifizierung in SharePoint 2010Produkten finden Sie unter Anspruchsbasierte Identität in SharePoint.
Hinweis zur eingehenden Anspruchsauthentifizierung und zu C2WTS
Für einige Dienstanwendungen müssen Sie C2WTS (Claims to Windows Token Service,
Forderungen an den Windows-Tokendienst) von Windows Identity Foundation (WIF)
verwenden, um Ansprüche innerhalb der Farm in Windows-Anmeldeinformationen für
die ausgehende Authentifizierung zu transformieren. Es ist wichtig zu wissen, dass
C2WTS nur ausgeführt wird, wenn als eingehende Authentifizierungsmethode entweder
der klassische Authentifizierungsmodus oder die anspruchsbasierte WindowsAuthentifizierung verwendet wird. Wenn die anspruchsbasierte Authentifizierung
konfiguriert ist, benötigt C2WTS nur Windows-Ansprüche; von der Webanwendung
können nicht mehrere Anspruchsformen in der Webanwendung verwendet werden,
da andernfalls C2WTS nicht ausgeführt wird.
Identität in einer SharePoint 2010-Produkte-Umgebung
SharePoint 2010-Umgebungen verwenden die anspruchsbasierte Authentifizierung für
die Kommunikation innerhalb und zwischen Farmen für die meisten SharePointDienstanwendungen und integrierten SharePoint-Produkte unabhängig vom
verwendeten eingehenden Authentifizierungsmechanismus. Dies bedeutet, dass selbst
bei Verwendung der klassischen Authentifizierung zum Authentifizieren mit einer
bestimmten Webanwendung die eingehende Identität von SharePoint-Produkten in
eine anspruchsbasierte Identität konvertiert wird, um die Authentifizierung mit
SharePoint-Dienstanwendungen und -Produkten zu ermöglichen, von denen Ansprüche
unterstützt werden. Durch die Standardisierung des Anspruchsmodells für die
Kommunikation innerhalb und zwischen Farmen wird die Plattform von den
verwendeten eingehenden Protokollen unabhängig.
16
Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (Übersicht)
Hinweis:
Einige in SharePoint Server integrierte Produkte, wie beispielsweise SQL Server
Reporting Services, unterstützen keine Ansprüche und nutzen die Architektur der
anspruchsbasierten Authentifizierung zwischen Farmen nicht. SharePoint Server nutzt
möglicherweise auch die klassische Kerberos-Delegierung und Ansprüche in anderen
Szenarien. Beispielsweise, wenn für das RSS-Anzeige-Webpart die Verwendung eines
authentifizierten Feeds konfiguriert ist. Bestimmen Sie anhand der Dokumentation des
jeweiligen Produkts oder der jeweiligen Dienstanwendung, ob die anspruchsbasierte
Authentifizierung und die Identitätsdelegierung unterstützt werden.
Ausgehende Identität
Die ausgehende Identität in SharePoint 2010-Produkten repräsentiert jene Szenarien, in
denen Dienste innerhalb der Farm bei externen Branchensystemen und -diensten
authentifiziert werden müssen. In Abhängigkeit vom jeweiligen Szenario kann die
Authentifizierung in einem von zwei grundlegenden Modellen ausgeführt werden:
Vertrauenswürdiges Subsystem
Beim vertrauenswürdigen Subsystem führt der Front-End-Dienst die Authentifizierung
und Autorisierung des Clients aus und führt anschließend die Authentifizierung bei
zusätzlichen Back-End-Diensten aus, ohne die Clientidentität an das Back-End-System zu
übergeben. Das Back-End-System vertraut dem Front-End-Dienst bei der Durchführung
der Authentifizierung und Autorisierung in seinem Namen. Die gängigste Methode zum
Implementieren dieses Modells ist das Authentifizieren beim externen System mithilfe
eines freigegebenen Dienstkontos:
17
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Trusted Subsystem
Service
Service Account
Account
Client
Client
LoB
LoB System
System
SharePoint
WFE
Authorization
boundary
In SharePoint Server gibt es für die Implementierung dieses Modells verschiedene
Methoden:

Mithilfe der IIS-Anwendungspoolidentität – gewöhnlich wird dabei Code in der
Webanwendung ausgeführt, mit dem die Berechtigungen erhöht werden, während
ein externes System aufgerufen wird. Andere Methoden wie beispielsweise
RevertToSelf können ebenfalls die Anwendungspoolidentität zum Authentifizieren
bei externen Systemen verwenden.

Mithilfe eines Dienstkontos – gewöhnlich werden dabei Anmeldeinformationen der
Anwendung im Secure Store Service gespeichert, die dann zum Authentifizieren bei
einem externen System verwendet werden. Eine weitere Methode ist das Speichern
der Anmeldeinformationen des Dienstkontos auf andere Weise, wie beispielsweise
als eingebettete Verbindungszeichenfolgen.

Anonyme Authentifizierung – hierbei erfordert das externe System keine
Authentifizierung. Deshalb muss der SharePoint Server-Front-End-Dienst keine
Identität an das Back-End-System übergeben.
Delegierung
Beim Delegierungsmodell authentifiziert der Front-End-Dienst zunächst den Client und
nimmt dann mithilfe der Identität des Clients eine Authentifizierung bei einem anderen
Back-End-System vor, das eine eigene Authentifizierung und Autorisierung durchführt:
18
Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (Übersicht)
Delegation
Client
Client
Client
Client
Authorization
boundary
LoB
LoB System
System
SharePoint
WFE
Authorization
boundary
In SharePoint 2010-Produkten gibt es für die Implementierung dieses Modells
verschiedene Methoden:

Kerberos-Delegierung – wenn sich der Client mithilfe der Kerberos-Authentifizierung
beim Front-End-Dienst authentifiziert, kann mit der Kerberos-Delegierung die
Identität des Clients an das Back-End-System übergeben werden.

Ansprüche – mit der anspruchsbasierten Authentifizierung können die Ansprüche
des Clients zwischen Diensten übergeben werden, vorausgesetzt es besteht eine
Vertrauensstellung zwischen den beiden Diensten, und beide Dienste unterstützen
Ansprüche.
Hinweis:
Derzeit erlauben die meisten in SharePoint Server enthaltenen Dienstanwendungen die
ausgehende Anspruchsauthentifizierung nicht, jedoch wird dies in Zukunft von dieser
Plattform unterstützt werden. Darüber hinaus unterstützen viele gängige
Branchensysteme heutzutage nicht die eingehende Anspruchsauthentifizierung. Dies
bedeutet, dass die ausgehende Anspruchsauthentifizierung möglicherweise nicht
verwendet werden kann oder zusätzliche Entwicklungsarbeit erfordert, damit sie
ordnungsgemäß ausgeführt wird.
19
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Delegierung über Domänen- und Gesamtstrukturgrenzen
hinaus
Für die Szenarien in dieser Artikelfolge zur Kerberos-Authentifizierung müssen sich der
SharePoint Server-Dienst und externe Datenquellen in derselben Windows-Domäne
befinden, um die eingeschränkte Kerberos-Delegierung zu ermöglichen. Das KerberosProtokoll unterstützt zwei Delegierungsarten, nämlich die Standarddelegierung
(uneingeschränkt) und die eingeschränkte Delegierung. Die KerberosStandarddelegierung ist über Domänengrenzen in einer einzelnen Gesamtstruktur
hinweg möglich, was jedoch bei einer Gesamtstrukturgrenze unabhängig von der
Vertrauensstellung nicht der Fall ist. Die eingeschränkte Kerberos-Delegierung ist über
Domänen- oder Gesamtstrukturgrenzen hinweg für kein Szenario möglich.
Für einige SharePoint Server-Dienste kann die Verwendung der KerberosStandarddelegierung konfiguriert werden, aber für andere Dienste muss die
eingeschränkte Delegierung verwendet werden. Jeder Dienst, der auf C2WTS (Claims to
Windows Token Service, Forderungen an den Windows-Tokendienst) basiert, muss die
eingeschränkte Kerberos-Delegierung verwenden, damit C2WTS mithilfe des KerberosProtokollübergangs Ansprüche in Windows-Anmeldeinformationen transformieren kann.
Für die folgenden Dienstanwendungen und Produkte sind C2WTS und die
eingeschränkte Kerberos-Delegierung erforderlich:

Excel Services

PerformancePoint-Dienste

Visio Services
Die folgenden Dienstanwendungen und Produkte sind von diesen Anforderungen nicht
betroffen, weshalb bei Bedarf die Standarddelegierung verwendet werden kann:

Business Data Connectivity-Dienst und Microsoft Business Connectivity Services

InfoPath Forms Services

Access Services

Microsoft SQL Server Reporting Services (SSRS)

Microsoft Project Server 2010
20
Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (Übersicht)
Die folgende Dienstanwendung erlaubt die Delegierung von
Clientanmeldeinformationen nicht und ist deshalb von diesen Anforderungen nicht
betroffen:

Microsoft SQL Server PowerPivot für Microsoft SharePoint
Einführung in Ansprüche
Eine Einführung in die Konzepte von Ansprüchen und in die anspruchsbasierte
Authentifizierung finden Sie unter Einführung in Ansprüche
(http://go.microsoft.com/fwlink/?linkid=196648&clcid=0x407) und Anspruchsbasierte
Identität in SharePoint (http://go.microsoft.com/fwlink/?linkid=196647&clcid=0x407).
Einführung in das Kerberos-Protokoll
Eine Übersicht über die Funktionsweise des Kerberos-Protokolls finden Sie unter
Microsoft Kerberos (Windows)
(http://go.microsoft.com/fwlink/?linkid=196645&clcid=0x407), Erläuterungen zu
Kerberos (http://go.microsoft.com/fwlink/?linkid=196649&clcid=0x407) und Ask the
Directory Services Team: Kerberos for the Busy Admin
(http://go.microsoft.com/fwlink/?linkid=196650&clcid=0x407).
Vorteile des Kerberos-Protokolls
Bevor wir uns mit den Details der Konfiguration von SharePoint Server (oder einer
beliebigen Webanwendung) für die Verwendung des Kerberos-Protokolls befassen,
betrachten wir erst einmal das Kerberos-Protokoll und dessen Verwendung.
In der Regel gibt es drei Hauptgründe für die Verwendung des Kerberos-Protokolls:
1. Delegierung von Clientanmeldeinformationen – Mit dem Kerberos-Protokoll kann
die Identität eines Clients von einem Dienst angenommen werden, damit dieser
Dienst die Identität an andere Netzwerkdienste im Namen des Clients übergeben
kann. Bei NTLM ist diese Delegierung nicht zulässig. (Diese Begrenzung in NTLM wird
als „Doppel-Hop-Regel“ bezeichnet). Die anspruchsbasierte Authentifizierung, wie
die Kerberos-Authentifizierung, kann zum Delegieren von
Clientanmeldeinformationen verwendet werden, aber die Back-End-Anwendung
muss Ansprüche unterstützen.
2. Sicherheit – Aufgrund von Features wie beispielsweise AES-Verschlüsselung,
gegenseitiger Authentifizierung, Unterstützung von Datenintegrität und Datenschutz
ist das Kerberos-Protokoll sicherer als sein NTLM-Pendant.
21
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
3. Potenziell bessere Leistung – Die Kerberos-Authentifizierung erfordert im
Vergleich zu NTLM weniger Datenverkehr auf den Domänencontrollern (in
Abhängigkeit von der PAC-Verifizierung, siehe Microsoft Open Specification Support
Team Blog: Understanding Microsoft Kerberos PAC Validation). Falls die PACVerifizierung deaktiviert oder nicht erforderlich ist, muss der Dienst, der den Client
authentifiziert, keinen Remoteprozeduraufruf für den Domänencontroller ausführen
(siehe Verzögerte Benutzerauthentifizierung bei der Ausführung eines
Serverprogramms mit hohem Datenverkehrsaufkommen auf einem Domänenmitglied
in Windows 2000 oder Windows Server 2003). Die Kerberos-Authentifizierung
erfordert außerdem im Vergleich zu NTLM weniger Datenverkehr zwischen Client
und Server. Clients können im Vergleich zum typischen dreistufigen Handshake von
NTLM in zwei Anforderungen/Antworten bei Webservern authentifiziert werden.
Diese Verbesserung macht sich jedoch in der Regel in Netzwerken mit geringen
Wartezeiten auf Transaktionsbasis nicht bemerkbar, jedoch sehr wohl beim
allgemeinen Durchsatz des Systems. Beachten Sie, dass viele Umgebungsfaktoren
die Authentifizierungsleistung beeinflussen können. Deshalb sollten Sie die Leistung
von Kerberos-Authentifizierung und NTLM in Ihrer eigenen Umgebung testen, bevor
Sie sich für eine Methode entscheiden.
Dies ist eine unvollständige Liste der Vorteile des Kerberos-Protokolls. Es gibt andere
Gründe, wie beispielsweise die gegenseitige Authentifizierung, die
plattformübergreifende Interoperabilität und die transitive domänenübergreifende
Vertrauensstellung. In den meisten Fällen sind jedoch die Delegierung und die Sicherheit
die wichtigsten Gründe für die Verwendung des Kerberos-Protokolls.
Kerberos-Delegierung, eingeschränkte
Delegierung und Protokollübergang
Das Kerberos 5-Protokoll in der Windows-Plattform unterstützt zwei Typen von
Identitätsdelegierung, nämlich die Standarddelegierung (uneingeschränkt) und die
eingeschränkte Delegierung:
Typ
Vorteile
Standarddelegierung 

Nachteile
Ist über Domänengrenzen in 
einer einzelnen
Gesamtstruktur hinweg

möglich.
Erfordert weniger
Konfiguration als die
eingeschränkte Delegierung.
22
Der Protokollübergang wird
nicht unterstützt.
Sicher. Wenn die Sicherheit
des Front-End-Diensts
gefährdet ist, kann die
Clientidentität an einen
beliebigen Dienst in der
Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (Übersicht)
Typ
Vorteile
Nachteile
Gesamtstruktur delegiert
werden, der die KerberosAuthentifizierung
akzeptiert.
Eingeschränkte
Delegierung


Ein anderes als das

eingehende KerberosAuthentifizierungsprotokoll
kann in das Kerberos
Protokoll transformiert
werden (Beispiel: NTLM zu
Kerberos, anspruchsbasierte
Authentifizierung zu
Kerberos)
Ist nicht über
Domänengrenzen hinweg
möglich.
Erfordert zusätzliche
Setupkonfiguration.
Sicherer. Identitäten können
nur an den angegebenen
Dienst delegiert werden.
Von Kerberos-aktivierten Diensten kann die Identität mehrfach über mehrere Dienste
und mehrere Hops delegiert werden. Wenn eine Identität zwischen Diensten übertragen
wird, kann die Delegierungsmethode von der Standarddelegierung in die eingeschränkte
Delegierung geändert werden, aber nicht umgekehrt. Dies ist ein wichtiges
Entwurfsdesign: wenn ein Back-End-Dienst die Standarddelegierung erfordert (z. B. zum
Delegieren über eine Domänengrenze hinweg), müssen alle Dienste vor dem Back-EndDienst die Standarddelegierung verwenden. Falls ein Front-End-Dienst die
eingeschränkte Delegierung verwendet, kann das eingeschränkte Token vom Back-EndDienst nicht in ein uneingeschränktes Token geändert werden, um eine Domänengrenze
zu überwinden.
Mit dem Protokollübergang kann ein Kerberos-aktivierter Authentifizierungsdienst (FrontEnd-Dienst) eine andere als eine Kerberos-Identität in eine Kerberos-Identität konvertieren,
die an andere Kerberos-aktivierte Dienste delegiert werden kann (Back-End-Dienst). Für den
Protokollübergang ist die eingeschränkte Kerberos-Delegierung erforderlich, weshalb
Identitäten mit Protokollübergang keine Domänengrenzen überwinden können. In
Abhängigkeit von den Benutzerrechten des Front-End-Diensts kann das vom
23
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Protokollübergang zurückgegebene Kerberos-Ticket ein Identifikationstoken oder ein
Identitätswechseltoken sein. Weitere Informationen zur eingeschränkten Delegierung und
zum Protokollübergang finden Sie in den folgenden Artikeln:

Kerberos-Protokollübergang und eingeschränkte Delegierung
(http://technet.microsoft.com/de-de/library/cc739587(WS.10).aspx)

Technischer Zusatz zum Protokollübergang mit eingeschränkter Delegierung
(http://msdn.microsoft.com/de-de/library/ff650469.aspx)

Eingeschränkte Kerberos-Delegierung erfordert möglicherweise den
Protokollübergang in Szenarien mit mehreren Hops
(http://support.microsoft.com/kb/2005838/de-de)
Falls die Kerberos-Delegierung erforderlich ist, sollte als allgemeine bewährte Methode
nach Möglichkeit die eingeschränkte Delegierung verwendet werden. Falls die
Delegierung über Domänengrenzen hinweg erforderlich ist, muss für alle Dienste im
Delegierungspfad die Standarddelegierung verwendet werden.
Änderungen bei der KerberosAuthentifizierung in Windows 2008 R2 und
Windows 7
In Windows Server 2008 R2 und Windows 7 wurden neue Features für die KerberosAuthentifizierung eingeführt. Eine Übersicht über die Änderungen finden Sie unter
Änderungen bei der Kerberos-Authentifizierung
(http://go.microsoft.com/fwlink/?linkid=196655&clcid=0x407) und Verbesserungen bei
Kerberos (http://go.microsoft.com/fwlink/?LinkId=196656&clcid=0x407). Darüber
hinaus sollten Sie sich mit der Kernelmodusauthentifizierung von IIS 7.0 vertraut
machen (Einstellungen für die Kernelmodusauthentifizierung von IIS 7.0,
(http://go.microsoft.com/fwlink/?linkid=196657&clcid=0x407)) auch wenn sie in
SharePoint Server-Farmen nicht unterstützt wird.
Änderungen bei der Kerberos-Konfiguration
in SharePoint 2010-Produkten
Die meisten grundlegenden Konzepte zum Konfigurieren der Kerberos-Authentifizierung
in SharePoint 2010-Produkten sind unverändert. Sie müssen auch weiterhin
Dienstprinzipalnamen (Service Principal Names, SPNs) konfigurieren, und Sie müssen
auch weiterhin Delegierungseinstellungen für Computer- und Dienstkonten
konfigurieren. Es gibt jedoch einige Änderungen, die Sie beachten sollten:
24
Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (Übersicht)

Eingeschränkte Delegierung – ist für Dienste erforderlich, die C2WTS (Claims to
Windows Token Service, Forderungen an den Windows-Tokendienst) verwenden.
Die eingeschränkte Delegierung ist erforderlich, damit vom Protokollübergang
Ansprüche in Windows-Token konvertiert werden können.

Dienstanwendungen – In Office SharePoint Server 2007 waren für die SSP-Dienste
spezielle Änderungen bei Dienstprinzipalnamen und bei der Serverregistrierung
erforderlich, um die Delegierung zu ermöglichen. In SharePoint 2010-Produkten
werden von Dienstanwendungen die anspruchsbasierte Authentifizierung und
C2WTS verwendet, weshalb diese Änderungen nicht mehr nötig sind.

Windows Identity Foundation (WIF) – Der Forderungen an den WindowsTokendienst (Claims to Windows Token Service, C2WTS) von WIF ist ein neuer
Dienst, der von SharePoint 2010-Produkten für Delegierungsszenarien zum
Konvertieren von Ansprüchen in Windows-Token verwendet wird.
Überlegungen beim Upgrade von Office
SharePoint Server 2007
Beim Upgrade einer Office SharePoint Server 2007-Farm auf SharePoint Server 2010
sollten Sie die folgenden Aspekte beachten:

Falls für Webanwendungen die URLs geändert werden, müssen Sie die
Dienstprinzipalnamen entsprechend den DNS-Namen aktualisieren.

Löschen Sie die SSP-Dienstprinzipalnamen, da sie in SharePoint Server 2010 nicht
mehr benötigt werden.

Starten Sie C2WTS (Claims to Windows Token Service, Forderungen an den WindowsTokendienst) auf den Servern, auf denen Dienstanwendungen ausgeführt werden, für
die eine Delegierung erforderlich ist (z. B. Excel Services, Visio Graphics Service).

Konfigurieren Sie für die eingeschränkte Kerberos-Delegierung Beliebiges
Authentifizierungsprotokoll verwenden, um die eingeschränkte KerberosDelegierung mit C2WTS zu erlauben.

Stellen Sie sicher, dass die Kernelmodusauthentifizierung in IIS deaktiviert ist.
25
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Konfigurieren der KerberosAuthentifizierung: Schritt-für-SchrittAnleitung (SharePoint Server 2010)
Veröffentlichung: 02.12.10
In den folgenden Szenarioartikeln bauen wir eine SharePoint Server 2010-Umgebung
auf, um zu demonstrieren, wie in einer Reihe von Szenarien, die in Unternehmen häufig
vorkommen, die Delegierung konfiguriert wird. Bei den exemplarischen
Vorgehensweisen wird davon ausgegangen, dass Sie eine horizontal skalierte
SharePoint-Farm ähnlich der im folgenden Abschnitt beschriebenen Farm erstellen.
Hinweis:
Einige Konfigurationsschritte können variieren oder sind u. U. in bestimmten
Farmtopologien nicht anwendbar. Beispielsweise unterstützt eine Installation mit einem
einzelnen Server nicht den Forderungen-zu-Windows-Tokens-Dienst (C2WTS) in
Windows Identity Foundation, sodass Szenarien mit Delegierung von Forderungen an
Windows-Tokens in dieser Farmkonfiguration nicht möglich sind.
Umgebung und Farmtopologie
Das folgende Diagramm veranschaulicht die Farmtopologie, die beim Konfigurieren der
Szenarien in den folgenden Abschnitten verwendet wurde. Die Farmtopologie wurde
mit Lastenausgleich konfiguriert und zwischen mehreren Ebenen horizontal skaliert, um
zu demonstrieren, wie die Identitätsdelegierung in Szenarien mit mehreren Servern und
in Szenarien mit mehreren Schritten funktioniert.
26
Konfigurieren der Kerberos-Authentifizierung: Schritt-für-Schritt-Anleitung
(SharePoint Server 2010)
Hinweis:
Die Farmkonfiguration in den Demos ist nicht als Referenzarchitektur oder als Modell
für das Entwerfen einer Topologie für Produktionsumgebungen gedacht. Beispielsweise
werden in der Demo-Topologie alle SharePoint Server 2010-Dienstanwendungen auf
einem einzigen Server ausgeführt, sodass für diese Dienste eine einzige Fehlerquelle
vorhanden ist. Weitere Informationen zum Entwerfen und Erstellen einer SharePoint
Server-Produktionsumgebung finden Sie unter SharePoint Server 2010 – physische und
logische Architektur und Topologien für SharePoint Server 2010.
SQL AS
Search
SQL
BCS
vmSQL2k8r2-01
PPS
Visio
Web
vmSQL2k8r2-02
Excel
vmSP10WFE01
MMS
SQL Cluster
c2WTS
Client
(Win7)
vmSP10WFE02
SSRS
vmSP10APP01
NLB Cluster
App Server
vmSQL2k8r2-RS01
vmSQL2k8r2-RS01
SQL Reporting Services
NLB Cluster
Vmlab.local
27
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Hinweis:
Bei den exemplarischen Vorgehensweisen für die Szenarien wird davon ausgegangen,
dass sich alle Computer, auf denen SharePoint Server ausgeführt wird, und die im unten
beschriebenen Szenario verwendeten Datenquellen in einer einzigen Domäne befinden.
Eine Erklärung und eine exemplarische Vorgehensweise zur Konfiguration mit mehreren
Domänen bzw. mit mehreren Gesamtstrukturen ist nicht Gegenstand dieses Dokuments.
Spezifikation der Umgebung
Alle Computer in der Demo-Umgebung werden als virtualisierte Computer unter
Windows Server 2008 R2 Hyper-V ausgeführt. Die Computer gehören einer einzigen
Windows-Domäne an, vmlab.local, die in den Funktionsebenen für Windows Server
2008-Gesamtstrukturen und -Domänen ausgeführt werden.

Clientcomputer



Windows 7 Professional, 64-Bit
SharePoint Server-Front-End-Webs

Windows Server 2008 R2 Enterprise, 64-Bit

Dienste:

Webanwendungsdienst

Lastenausgleich mit Windows NLB
SharePoint Server-Anwendungsserver

Windows Server 2008 R2 Enterprise, 64-Bit

Microsoft SharePoint Server 2010 (RTM)

Dienste:

WIF-Forderungen-zu-Windows-Tokens-Dienst

Verwalteter Metadatendienst

SharePoint-Index

SharePoint-Abfrage
28
Konfigurieren der Kerberos-Authentifizierung: Schritt-für-Schritt-Anleitung
(SharePoint Server 2010)



Excel Services

Visio-Grafikdienst

Business Connectivity Services

PerformancePoint-Dienste
SQL-Dienste

Windows Server 2008 R2 Enterprise, 64-Bit

Microsoft SQL Server 2008 R2 Enterprise, 64-Bit

Aktiv-Passiv-Konfiguration

SQL Server-Dienste:

SQL Data Engine

SQL Server Analysis Services

SQL Agent

SQL-Browser
SQL Reporting Server

Windows Server 2008 R2 Enterprise, 64-Bit (RTM)

Microsoft SQL 2008 R2 Enterprise, 64-Bit (RTM)

Microsoft SharePoint Server 2010 (RTM)

Lastenausgleich mit Windows NLB

Reporting Services im integrierten SharePoint-Modus

Reporting Services im Modus für horizontale Skalierung
Spezifikation der Webanwendung
In den Szenarien in der exemplarischen Vorgehensweise wird Bezug genommen auf eine
Reihe von SharePoint Server 2010-Webanwendungen, die Sie in Szenario 1
konfigurieren werden. Für die folgenden Webanwendungen wird mithilfe von Windows
29
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
NLB ein Lastenausgleich zwischen den zwei SharePoint Server-Web-Front-Ends in der
Demo-Umgebung durchgeführt:

http://sp10CA Die Webanwendung der Zentraladministration für die Farm. In
Szenario 1 wird die Konfiguration dieser Webanwendung nicht Schritt für Schritt
erklärt.

http://portal und https://portal Die Webanwendung mit dem DemoVeröffentlichungsportal. Anhand dieser Webanwendung wird gezeigt, wie Sie die
Delegierung für Webanwendungen konfigurieren, die auf Standardports (HTTP 80,
HTTPS 443) ausgeführt werden.

http://teams:5555 Die Webanwendung mit der Demo-Teamwebsite. Anhand
dieser Webanwendung wird die Konfiguration der Delegierung für
Webanwendungen gezeigt, die auf nicht standardmäßigen Ports ausgeführt werden,
im aktuellen Beispiel Port 5555.
30
Konfigurieren der Kerberos-Authentifizierung: Schritt-für-Schritt-Anleitung
(SharePoint Server 2010)
Application pool
App Pool Identity:
Vmlab\svcFarmv4
Central
Administration Web
Application
SharePoint Central Administration
URL: http://sp10CA
Web
Application pool
App Pool Identity:
Vmlab\svcPortal10App
vmSP10WFE01
Portal Web
Application
vmSP10WFE02
Publishing Portal Site Collection
URL: http://portal
https://portal
NLB Cluster
Application pool
App Pool Identity:
Vmlab\svcTeams10App
Team Site Web
Application
Team Site Collection
URL: http://Teams:5555
SSL-Konfiguration
In einigen der Szenarien mit exemplarischen Vorgehensweisen wird SSL verwendet, um
zu veranschaulichen, wie die Delegierung mit HTTPS konfiguriert wird. Es wird davon
ausgegangen, dass die verwendeten Zertifikate von einer (internen oder öffentlichen)
31
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
vertrauenswürdigen Stammzertifizierungsstelle stammen oder dass Sie alle Computer
so konfiguriert haben, dass den verwendeten Zertifikaten vertraut wird. Nicht erklärt
wird in diesem Dokument, wie Sie die Vertrauensstellung für Zertifikate ordnungsgemäß
konfigurieren oder wie Sie Probleme im Zusammenhang mit der Installation von SSLZertifikaten beheben. Wir empfehlen dringend, die einschlägige Dokumentation über
diese Themen zu lesen und die SSL-Konfiguration zu testen, bevor Sie die
eingeschränkte Kerberos-Delegierung mit SSL-geschützten Diensten konfigurieren.
Weitere Informationen finden Sie unter:

Active Directory-Zertifikatdienste (Übersicht)
(http://go.microsoft.com/fwlink/?LinkId=196660&clcid=0x407)

Schrittweise Anleitung zu den Windows Server Active Directory-Zertifikatdiensten
(http://go.microsoft.com/fwlink/?LinkId=196661&clcid=0x407)

Konfigurieren von Serverzertifikaten in IIS 7
(http://go.microsoft.com/fwlink/?LinkId=196662&clcid=0x407)

Einrichten von SSL für IIS 7: Konfigurieren der Sicherheit : Installieren und
Konfigurieren von IIS 7
(http://go.microsoft.com/fwlink/?LinkID=193447&clcid=0x407)

Hinzufügen einer Bindung zu einer Site (IIS 7)
(http://go.microsoft.com/fwlink/?LinkId=196663&clcid=0x407)

Konfigurieren eines Hostheaders für eine Website (IIS 7)
(http://go.microsoft.com/fwlink/?LinkId=196664&clcid=0x407) – (Verwenden von
SSL mit Hostheadern)

Erstellen eines selbstsignierten Serverzertifikats in IIS 7
(http://go.microsoft.com/fwlink/?LinkId=196665&clcid=0x407)
Lastenausgleich
Der Lastenausgleich in den SharePoint Server-Front-End-Web und auf Servern mit SQL
Server Reporting Services wurde mithilfe von Windows Server 2008Netzwerklastenausgleich (Network Load Balancing, NLB) implementiert. Die Konfiguration
von NLB und bewährte Methoden für NLB werden in diesem Dokument nicht behandelt.
Weitere Informationen zu NLB finden Sie unter Netzwerklastenausgleich (Übersicht).
SQL--Aliasing
Die Farm wurde unter Verwendung eines SQL-Client-Alias zum Herstellen einer
Verbindung zum SQL-Cluster erstellt. Dies ist eine bewährte Methode und dient zur
32
Konfigurieren der Kerberos-Authentifizierung: Schritt-für-Schritt-Anleitung
(SharePoint Server 2010)
Veranschaulichung der Kerberos-Authentifizierung bei Verwendung von SQL-Aliasing.
In Szenario 2 wird davon ausgegangen, dass die Umgebung auf diese Weise konfiguriert
wurde. Die Verwendung von SQL-Aliasen ist jedoch keine Bedingung, um die unten
beschriebenen Szenarien auszuführen. Weitere Informationen zum Konfigurieren von
SQL-Aliasen finden Sie unter Vorgehensweise: Erstellen eines Serveralias für die
Verwendung durch einen Client (SQL Server-Konfigurations-Manager).
SharePoint Server Services und Dienstkonten
In den nachfolgenden Szenarien wird ein Modell der geringsten Rechte implementiert,
bei dem jeder Dienst in der SharePoint-Farm für seine Dienstidentität ein eigenes,
eindeutiges Active Directory-Konto nutzt. Dieses Modell hat Vor- und Nachteile:
Vorteile:

Der Administrator kann die Berechtigungen jedes Diensts präzise steuern Dazu
zählen Domänen-, lokale und allgemeine Berechtigungen, Delegierungsrechte und
andere Einstellungen.

Bessere Überwachung und Nachverfolgbarkeit Dadurch, dass jeder Dienst eine
eigene Identität hat, kann der Administrator Netzwerk- und Systemaktivitäten
basierend auf der in den Überwachungsdateien erfassten Identität zum jeweiligen
Dienst zurückverfolgen. Wenn beispielsweise ein Überwachungsprotokoll eines
Servers Anmeldeaktivitäten für ein bestimmtes Konto zeigt, kann mithilfe dieses
Kontos die Aktivität zu einem bestimmten Dienst zurückverfolgt werden.

Mehr Sicherheit Durch Arbeiten mit eigenen Konten für jeden Dienst kann ein
Administrator sicherstellen, dass bei Gefährdung der Sicherheit eines Kontos der
potenzielle Schaden begrenzt ist, da nur der Dienst betroffen ist, der dieses
gefährdete Konto verwendet. Sollte jemals die Sicherheit eines Kontos gefährdet
sein, muss eine ganzheitliche Sicherheitsprüfung der gesamten Umgebung erfolgen,
um zum Beseitigen des Sicherheitsproblems die geeignetste Lösung zu finden.
33
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Nachteile:

Höhere Komplexität bei der Kontoverwaltung Durch die höhere Anzahl von
Dienstkonten erhöht sich der Aufwand der Active Directory-Konfiguration und die
Anzahl der zu erzwingenden Verwaltungsrichtlinien für Kennwörter.

Zusätzliche Konfiguration Wie die nachfolgende schrittweise Anleitung zeigt,
müssen SharePoint Server-Administratoren, nachdem sie sich für das Arbeiten mit
dem Modell der geringsten Rechte entschlossen haben, weitere Schritte ausführen,
um die Umgebung ordnungsgemäß zu konfigurieren.

Erhöhte Verwaltungskomplexität Die Wahrscheinlichkeit von
Konfigurationsfehlern steigt mit der Zunahme der Komplexität der Umgebung.
Wenn Sie mit mehreren Konten arbeiten, besteht die Möglichkeit, dass bestimmte
Dienste falsch konfiguriert werden, was zu Funktionsstörungen führen kann, die
dann behoben werden müssen.
Beachten Sie, dass das Arbeiten mit gesonderten Dienstkonten keine Anforderung von
SharePoint Server, sondern eine allgemeine Empfehlung für Produktionsumgebungen
ist. In den Schritten im Rest dieses Dokuments wird erklärt, wie SharePoint Server
konfiguriert wird, wenn Sie mit gesonderten Konten arbeiten. Einige dieser Schritte
treffen ggf. nicht zu, wenn Sie mit gemeinsam genutzten Konten arbeiten.
Dienstidentität für den Forderungen an den
Windows-Tokendienst (C2WTS)
Die nachfolgenden Schritte gehen von einem Sicherheitsmodell der geringsten Rechte
aus und sehen für jeden SharePoint Server-Dienst ein eigenes Dienstkonto vor. Der
Forderungen an den Windows-Tokendienst (C2WTS) ist zum Erfüllen dieser Vorgabe für
die Nutzung eines gesonderten Active Directory-Kontos anstatt des standardmäßigen
lokalen Systemkontos konfiguriert. Wenn Sie mit einem eindeutigen Konto arbeiten,
können die dem Forderungen an den Windows-Tokendienst (C2WTS) gewährten
Delegierungsrechte getrennt von anderen Diensten auf dem Server verwalten, die auch
das lokale Systemkonto verwenden. Dies ist keine Produktanforderung, sondern eine
empfohlene Vorgehensweise.
34
Konfigurieren der Kerberos-Authentifizierung: Schritt-für-Schritt-Anleitung
(SharePoint Server 2010)
Tipps zum Durcharbeiten der Szenarien
Die unten beschriebenen Szenarien leiten Sie durch die verschiedenen Aktivitäten, die
Sie zum Konfigurieren der Kerberos-Delegierung für verschiedene Funktionen der
SharePoint Server-Plattform ausführen müssen. Beachten Sie beim Durcharbeiten der
einzelnen Abschnitte Folgendes:
Bei allen Szenarien wird davon ausgegangen, dass Sie die Webanwendungen für
klassische eingehende Authentifizierung (Kerberos) konfiguriert haben. Einige der
Szenarien erfordern die klassische Authentifizierung, d. h. sie funktionieren nicht wie
hier dokumentiert, wenn eingehende Forderungsauthentifizierung verwendet wird.

Stellen Sie zuerst sicher, dass die SharePoint Server-Dienste ohne Delegierung
funktionieren, um sicherzugehen, dass die Dienstanwendungen korrekt konfiguriert
sind, bevor Sie komplexere Konfigurationen mit Delegierung angehen.

Führen Sie jeden Schritt sorgfältig durch, und überspringen Sie keinen Schritt.

Führen Sie Szenario 1 durch, und arbeiten Sie mit den im Szenario genannten Tools
zum Debuggen, da Sie diese in anderen Szenarien für die Ursachenanalyse bei
Konfigurationsproblemen verwenden können.

Arbeiten Sie unbedingt auch Szenario 2 durch. Sie brauchen einen Computer mit
SQL Server, der für Kerberos-Authentifizierung konfiguriert ist. Die Testdatenbank,
die Sie in diesem Szenario erstellen, werden Sie für einige der späteren Szenarien
benötigen.

Überprüfen Sie in jedem Szenario stets mithilfe von SetSPN -X und SetSPN -Q die
Konfiguration der Dienstprinzipalnamen. Weitere Informationen hierzu finden Sie
im Anhang.

Überprüfen Sie unbedingt die Serverereignisprotokolle und die ULS-Protokolle,
wenn Sie mit dem Debuggen eines Konfigurationsproblems beginnen. In diesen
Protokollen finden Sie meist gute Hinweise auf die Ursachen möglicher Probleme.

Aktivieren Sie die Diagnoseprotokollierung für SharePoint Foundation>Anspruchsauthentifizierung und jegliche Dienstanwendungen, die zu untersuchen
sind, falls ein Problem auftritt.

Denken Sie daran, dass sich die Zwischenspeicherung für Dienstanwendungen auf
jedes Szenario auswirken kann. Wenn Sie Änderungen an der Konfiguration
vornehmen, aber keine Veränderung im Verhalten der Plattform feststellen können,
starten Sie den Anwendungspool oder den Windows-Dienst des Dienstes neu. Wird
das Problem dadurch behoben, hilft manchmal ein Neustart des Systems.
35
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte

Bedenken Sie, dass Kerberos-Tickets nach der Anforderung zwischengespeichert
werden. Wenn Sie ein Tool wie NetMon verwenden, um TGT- und TGS-Anforderungen
anzuzeigen, müssen Sie u. U. den Ticketcache leeren, wenn der erwartete
Anforderungsdatenverkehr nicht zu sehen ist. In Szenario 1, Konfigurieren der
Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010), wird erklärt,
wie Sie diesen Schritt mithilfe der Hilfsprogramme KLIST und KerbTray ausführen.

Führen Sie NetMon unbedingt mit administrativen Berechtigungen aus, um
Kerberos-Datenverkehr zu erfassen.

Bei komplexen Debuggingszenarien empfiehlt es sich u. U., die WIFAblaufverfolgung für den Forderungen an den Windows-Tokendienst (C2WTS) sowie
für die SharePoint-Dienstanwendungen (WCF-Dienste) zu aktivieren. Weitere
Informationen finden Sie in folgenden Artikeln:

WIF-Ablaufverfolgung

Vorgehensweise: Aktivieren der Ablaufverfolgung

Konfigurieren der Ablaufverfolgung
36
Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint
Server 2010)
Konfigurieren der KerberosAuthentifizierung: Kernkonfiguration
(SharePoint Server 2010)
Veröffentlichung: 02.12.10
Im ersten Szenario konfigurieren Sie zwei SharePoint Server 2010-Webanwendungen für
die Verwendung des Kerberos-Protokolls zur Authentifizierung eingehender
Clientanforderungen. Zu Demonstrationszwecken wird eine Anwendung zur
Verwendung von Standardports (80/443) und die andere für die Verwendung eines
nicht standardmäßigen Ports konfiguriert. Dieses Szenario bildet die Grundlage aller
folgenden Szenarien, für die vorausgesetzt wird, dass die folgenden Aktivitäten
ausgeführt wurden.
Wichtig:
Ihre Webanwendungen müssen für die klassische Windows-Authentifizierung mithilfe
der Kerberos-Authentifizierung konfiguriert werden, damit die Szenarien wie gewünscht
funktionieren. In einigen Szenarien kann die anspruchs- bzw. forderungsbasierte
Windows-Authentifizierung verwendet werden, die jedoch ggf. nicht die in den
nachfolgenden Szenarien geschilderten Ergebnisse liefert.
Hinweis:
Bei einer Installation unter Windows Server 2008 muss ggf. der folgende Hotfix für die
Kerberos-Authentifizierung installiert werden:
Kerberos-Authentifizierung misslingt bei Verwenden des AES-Algorithmus auf einem
Computer mit Windows Server 2008 oder Windows Vista mit dem Fehlercode
0X80090302 oder 0x8009030f (http://support.microsoft.com/kb/969083/de-de)
In diesem Szenario führen Sie die folgenden Aufgaben aus:

Konfigurieren zweier Webanwendungen mit Standardzonen, die das KerberosProtokoll für die Authentifizierung verwenden
37
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte

Erstellen je einer Test-Websitesammlung in beiden Webanwendungen

Überprüfen der Internetinformationsdienste-Konfiguration der Webanwendung

Überprüfen, ob sich Clients bei der Webanwendung authentifizieren können, und
Sicherstellen, dass das Kerberos-Protokoll für die Authentifizierung verwendet wird

Konfigurieren des Webparts RSS-Anzeige zum Anzeigen von RSS-Feeds in einer
lokalen und einer Remotewebanwendung

Durchforsten beider Webanwendungen und Testen der Suche nach Inhalten in jeder
Test-Websitesammlung
Checkliste für die Konfiguration
Konfigurationsbereich
Beschreibung
DNS
Registrieren eines DNS-Eintrags vom Typ „A“ für die
virtuelle IP des Netzwerklastenausgleichs der
Webanwendungen
Active Directory
Erstellen eines Dienstkontos für den
Internetinformationsdienste-Anwendungspool (IIS) der
Webanwendungen
Registrieren von Dienstprinzipalnamen für die
Webanwendungen für das Dienstkonto, das für den IISAnwendungspool der Webanwendungen erstellt wurde
Konfigurieren der eingeschränkten Kerberos-Delegierung
für Dienstkonten
SharePointWebanwendung
Erstellen verwalteter SharePoint Server-Konten
Erstellen der SharePoint-Suchdienstanwendung
Erstellen der SharePoint-Webanwendungen
IIS
Sicherstellen, dass die Kerberos-Authentifizierung
aktiviert ist
38
Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint
Server 2010)
Konfigurationsbereich
Beschreibung
Sicherstellen, dass die Kernelmodusauthentifizierung
deaktiviert ist
Installieren von Zertifikaten für SSL
Windows 7-Client
Sicherstellen, dass sich Webanwendungs-URLs in der
Zone Intranet bzw. einer Zone befinden, die für die
automatische Authentifizierung mithilfe der integrierten
Windows-Authentifizierung konfiguriert ist
Firewallkonfiguration
Öffnen von Firewallports zum Zulassen von
eingehendem HTTP-Datenverkehr an Standard- und
Nicht-Standardports
Sicherstellen, dass sich Clients mit Kerberos-Ports in
Active Directory verbinden können
Testen der
Überprüfen, ob die Authentifizierung im Browser
Browserauthentifizierung ordnungsgemäß funktioniert
Überprüfen von Anmeldeinformationen im
Sicherheitsereignisprotokoll des Webservers
Prüfen, ob die Kerberos-Authentifizierung
ordnungsgemäß konfiguriert ist, mithilfe von Tools
anderer Anbieter
Testen von SharePoint
Server-Suchindex und abfrage
Überprüfen des Browserzugriffs auf den Indexservern
Hochladen von Beispielinhalten und Durchführen einer
Durchforstung
Testen der Suche
Testen der Web-FrontEnd-Delegierung
Konfigurieren von RSS-Feedquellen für jede
Websitesammlung
Hinzufügen von Webparts vom Typ „RSS-Anzeige“ zur
Homepage jeder Websitesammlung
39
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Schrittweise Konfigurationsanweisungen
Konfigurieren von DNS
Konfigurieren Sie DNS für die Webanwendungen in Ihrer Umgebung. In diesem Beispiel
gibt es die beiden Webanwendungen (http://portal und http://teams:5555), die beide
in dieselbe virtuelle IP-Adresse für den Netzwerklastenausgleich (192.168.24.140/24)
aufgelöst werden.
Allgemeine Informationen zur DNS-Konfiguration finden Sie unter Verwalten von DNSEinträgen.
SharePoint Server-Webanwendungen
http://portal: Konfigurieren Sie einen neuen DNS-Eintrag vom Typ „A“ für die
Webanwendung „portal“. In diesem Beispiel ist der Host „portal“ für die Auflösung in
die virtuelle IP-Adresse für den Lastenausgleich konfiguriert.
http://teams:5555: Konfigurieren Sie einen neuen DNS-Eintrag vom Typ „A“ für die
Webanwendung „teams“.
40
Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint
Server 2010)
Hinweis:
Sie müssen sicherstellen, dass die DNS-Einträge vom Typ „A“ und keine CNAME-Aliase
sind, damit die Kerberos-Authentifizierung in Umgebungen mit mehreren
Webanwendungen erfolgreich funktioniert, die mit Hostheadern und gesonderten
dedizierten Dienstkonten ausgeführt werden. Unter Bekannte KerberosKonfigurationsprobleme (SharePoint Server 2010) finden Sie eine Erklärung zum
bekannten Problem bei der Verwendung von CNAME bei für Kerberos aktivierten
Webanwendungen.
Konfigurieren von Active Directory
Als Nächstes konfigurieren Sie Active Directory-Konten für die Webanwendungen in
Ihrer Umgebung. Es hat sich bewährt, jede Webanwendung für die Ausführung in ihrem
eigenen IIS-Anwendungspool mit eigenem Sicherheitskontext
(Anwendungspoolidentität) zu konfigurieren.
Dienstkonten der SharePoint-Webanwendungen
In unserem Beispiel gibt es zwei SharePoint Server-Webanwendungen, die in zwei
gesonderten IIS-Anwendungspools mit eigenen ausgeführten Anwendungspoolidentitäten
ausgeführt werden.
41
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Webanwendung (Standardzone)
IIS-Anwendungspoolidentität
http://portal
vmlab\svcPortal10App
http://teams:5555
vmlab\ svcTeams10App
Dienstprinzipalnamen (SPNs)
Konfigurieren Sie für jedes Dienstkonto eine Gruppe von Dienstprinzipalnamen, die den
jeder Webanwendung zugewiesenen DNS-Hostnamen zugeordnet werden.
Mit SetSPN, einem Befehlszeilenprogamm von Windows Server 2008, können Sie einen
neuen Dienstprinzipalnamen konfigurieren. Eine ausführliche Beschreibung von SetSPN
finden Sie unter Setspn. Informationen zu Verbesserungen an SetSPN in Windows
Server 2008 finden Sie im MSDN-Blogbeitrag Care, Share and Grow! : New features in
SETSPN.EXE on Windows Server 2008.
Alle SharePoint Server-Webanwendungen befolgen ungeachtet der Portnummer das
folgende Format für Dienstprinzipalnamen:

HTTP/<DNS-HOST Name>

HTTP/<DNS-FQDN>
Beispiel:

HTTP/portal

HTTP/portal.vmlab.local
Registrieren Sie für Webanwendungen, die an Nicht-Standardports (anderen Ports als
80/443) ausgeführt werden, zusätzliche Dienstprinzipalnamen samt Portnummer:

HTTP/<DNS-Hostname>:<Port>

HTTP/<DNS-FQDN>:<port>
Beispiel:

HTTP/teams:5555

HTTP/teams.vmlab.local:5555
42
Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint
Server 2010)
Hinweis:
Im Anhang finden Sie eine Erläuterung, warum empfohlen wird, Dienstprinzipalnamen
mit und ohne Portnummer für HTTP-Dienste zu konfigurieren, die an NichtStandardports (80, 443) ausgeführt werden. Die technische ordnungsgemäße
Vorgehensweise zum Verweisen auf einen HTTP-Dienst, der an einem NichtStandardport ausgeführt wird, ist das Einbeziehen der Portnummer in den
Dienstprinzipalnamen, doch aufgrund bekannter im Anhang beschriebener Probleme,
müssen auch Dienstprinzipalnamen ohne Portangabe konfiguriert werden. Das
Verwenden der Dienstprinzipalnamen ohne Port für die Webanwendung teams
bedeutet nicht, dass in unserem Beispiel auf Dienste über die Standardport (80, 443)
zugegriffen wird.
In unserem Beispiel haben wir die folgenden Dienstprinzipalnamen für die beiden im
vorherigen Schritt erstellten Konten konfiguriert:
DNS-Host
IIS-Anwendungspoolidentität
Dienstprinzipalnamen
Portal.vmlab.local
vmlab\svcPortal10App
HTTP/portal
HTTP/portal.vmlab.local
Teams.vmlab.local
vmlab\ svcTeams10App
HTTP/Teams
HTTP/Teams.vmlab.local
HTTP/Teams:5555
HTTP/Teams.vmlab.local:5555
Zum Erstellen der Dienstprinzipalnamen wurden die folgenden Befehle ausgeführt:
SetSPN -S HTTP/Portal vmlab\svcportal10App
SetSPN -S HTTP/Portal.vmlab.local vmlab\svcportal10App
43
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
SetSPN -S HTTP/Teams vmlab\svcTeams10App
SetSPN -S HTTP/Teams.vmlab.local vmlab\ svcTeams10App
SetSPN -S HTTP/Teams:5555 vmlab\ svcTeams10App
SetSPN -S HTTP/Teams.vmlab.local:5555 vmlab\ svcTeams10App
Wichtig:
Konfigurieren Sie Dienstprinzipalnamen nicht mit HTTPS, auch wenn die
Webanwendung SSL verwendet.
In diesem Beispiel wurde der neue in Windows Server 2008 eingeführte
Befehlszeilenparameter „-S“ angegeben, der erst prüft, ob der Dienstprinzipalname
vorhanden ist, ehe dieser für das Konto erstellt wird. Ist er bereits vorhanden, wird kein
neuer Dienstprinzipalname erstellt und eine Fehlermeldung angezeigt.
Werden doppelte Dienstprinzipalnamen gefunden, müssen Sie das Problem beheben,
indem Sie entweder einen anderen DNS-Namen für die Webanwendung wählen und
dadurch den Dienstprinzipalnamen ändern oder den vorhandenen
Dienstprinzipalnamen aus dem Konto entfernen, in dem er erkannt wurde.
44
Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint
Server 2010)
Wichtig:
Vergewissern Sie sich vor dem Löschen eines vorhandenen Dienstprinzipalnamens, dass
dieser nicht mehr benötigt wird, da Sie andernfalls ggf. die Kerberos-Authentifizierung
einer anderen Anwendung in der Umgebung außer Kraft setzen.
Dienstprinzipalnamen und SSL
Kerberos-Dienstprinzipalnamen werden häufig mit URLs für HTTP-Webanwendungen
verwechselt, da die Syntax des Dienstprinzipalnamen- und URI-Formats sehr ähnlich ist.
Doch wichtig ist es zu verstehen, dass es sich um zwei vollständig unterschiedliche und
eigene Dinge handelt. Kerberos-Dienstprinzipalnamen dienen zum Bestimmen eines
Diensts. Wenn der jeweilige Dienst eine HTTP-Anwendung ist, lautet das Dienstschema
„HTTP“ unabhängig davon, ob auf den Dienst über SSL zugegriffen wird oder nicht. Auch
wenn Sie auf die Webanwendung über „https://beliebigeAnwendung“ zugreifen sollten,
dürfen Sie deshalb einen Dienstprinzipalnamen nicht mit HTTPS, z. B.
„HTTPS/beliebigeAnwendung“ konfigurieren.
Konfigurieren der eingeschränkten Delegierung von Kerberos für
Computer und Dienstkonten
Je nach Szenario ist für bestimmte Funktionen in SharePoint Server 2010 die
eingeschränkte Delegierung erforderlich. Wenn beispielsweise das Webpart RSSAnzeige für die Anzeige eines RSS-Feeds aus einer authentifizierten Quelle konfiguriert
ist, wird für die Nutzung des Quellfeeds eine Delegierung benötigt. In anderen Fällen
muss die eingeschränkte Delegierung ggf. konfiguriert werden, um Dienstanwendungen
(wie Excel Services) die Delegierung der Identität des Clients an Back-End-Systeme zu
ermöglichen.
In diesem Szenario wird die eingeschränkte Kerberos-Delegierung konfiguriert, damit
das Webpart RSS-Anzeige einen geschützten lokalen RSS-Feed und einen geschützten
RSS-Remotefeed aus einer Remotewebanwendung lesen kann. In nachfolgenden
Szenarien wird die eingeschränkte Kerberos-Delegierung für andere SharePoint
Server 2010-Dienstanwendungen konfiguriert.
Das folgende Diagramm veranschaulicht, was in diesem Szenario konfiguriert wird:
45
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Portal Web App
HTTP/Portal
RSS Viewer
RSS Viewer
Teams Web App
HTTP/Teams
RSS Viewer
RSS Viewer
Wir sehen zwei Webanwendungen mit je einer eigenen Websitesammlung sowie einer
Webseite, die als Host zweier Webparts vom Typ RSS-Anzeige dient. Beide
Webanwendungen haben eine einzelne Standardzone, die für die KerberosAuthentifizierung konfiguriert ist, sodass für alle aus diesen Websites stammenden
Feeds eine Authentifizierung erforderlich ist. In den beiden Websites ist eine RSSAnzeige für das Lesen eines lokalen RSS-Feeds aus einer Liste und eine andere für das
Lesen eines Authentifizierungsfeeds in der Remotewebsite konfiguriert.
Hierfür wird die eingeschränkte Kerberos-Delegierung so konfiguriert, dass die
Delegierung zwischen den Dienstkonten des IIS-Anwendungspools zugelassen wird.
Das folgende Diagramm zeigt die benötigten Pfade für die eingeschränkte Delegierung:
46
Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint
Server 2010)
Application pool
Service Accounts
Identity: Vmlab\svcPortal10App
SPN: HTTP/Portal
Portal Web App
HTTP/Portal
Application pool
Identity: Vmlab\svcTeams10App
SPN: HTTP/Teams
Teams Web App
HTTP/Teams
Note: SPNs are not technically applied to
web applications, they are assigned to
service accounts. However we identify the
“service” by SPN
Wie bereits erwähnt, wird die Webanwendung anhand des Dienstnamens unter
Verwendung des Dienstprinzipalnamens bestimmt, der der Identität des IISAnwendungspools zugewiesen ist. Die Anforderungen verarbeitenden Dienstkonten müssen
so konfiguriert sein, dass die Clientidentität an die vorgesehenen Dienste delegiert wird.
Die folgenden Pfade müssen für die eingeschränkte Delegierung konfiguriert werden:
Prinzipaltyp
Prinzipalname
Erforderliche Stellvertretungen
User
svcPortal10App
HTTP/Portal
HTTP/Portal.vmlab.local
HTTP/Teams
HTTP/Teams.vmlab.local
HTTP/Teams:5555
HTTP/Teams.vmlab.local:5555
47
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Prinzipaltyp
Prinzipalname
Erforderliche Stellvertretungen
User
svcTeams10App
HTTP/Portal
HTTP/Portal.vmlab.local
HTTP/Teams
HTTP/Teams.vmlab.local
HTTP/Teams:5555
HTTP/Teams.vmlab.local:5555
Hinweis:
Es mag redundant erscheinen, eine Delegierung eines Diensts an sich selbst zu
konfigurieren, z. B. die Delegierung des Dienstkontos portal an die Dienstanwendung
portal, doch ist dies in Szenarien erforderlich, in denen der Dienst auf mehreren Servern
ausgeführt wird. Dies ist für das Szenario erforderlich, bei dem ein Server ggf. eine
Delegierung an einen anderen Server vornehmen muss, auf dem derselbe Dienst
ausgeführt wird, z. B. ein Web-Front-End-Server, der eine Anforderung mit einer RSSAnzeige verarbeitet, die die lokale Webanwendung als Datenquelle verwendet. Je nach
Farmtopologie und -konfiguration ist es möglich, dass die RSS-Anforderung von einem
anderen Server erfüllt wird, was für einen ordnungsgemäßen Betrieb die Delegierung
erforderlich machen würde.
Die Delegierung kann mit dem Snap-In Active Directory-Benutzer und -Computer
konfiguriert werden. Klicken Sie mit der rechten Maustaste auf die einzelnen
Dienstkonten, und öffnen Sie das Eigenschaftendialogfeld. Im Dialogfeld wird eine
Registerkarte für die Delegierung angezeigt (dies allerdings nur, wenn dem Objekt ein
Dienstprinzipalname zugewiesen ist. Computer haben standardmäßig einen
Dienstprinzipalnamen). Wählen Sie auf der Registerkarte erst Benutzer bei
Delegierungen angegebener Dienste vertrauen und dann Beliebiges
Authentifizierungsprotokoll verwenden aus.
48
Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint
Server 2010)
Klicken Sie auf die Schaltfläche Hinzufügen, um die Dienste hinzuzufügen, für die der
Benutzer (das Dienstkonto) eine Delegierung vornehmen darf. In unserem Fall wird eine
Delegierung an einen HTTP-Dienst versucht, was bedeutet, dass nach dem Dienstkonto
des IIS-Anwendungspools gesucht wird, dem der Dienstprinzipalname im vorherigen
Schritt zugewiesen wurde.
49
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Klicken Sie im Dialogfeld Benutzer oder Computer auswählen auf Benutzer und
Computer, suchen Sie die Dienstkonten des IIS-Anwendungspools (in diesem Beispiel
vmlab\svcPortal10App und vmlab\svcTeams10App), und klicken Sie dann auf OK.
Sie werden anschließend aufgefordert, die den Objekten zugewiesenen Dienste anhand
des Dienstprinzipalnamens auszuwählen.
50
Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint
Server 2010)
Klicken Sie im Dialogfeld Dienste hinzufügen auf Alles markieren und dann auf OK.
Wenn Sie zum Delegierungsdialogfeld zurückkehren, werden nicht alle ausgewählten
Dienstprinzipalnamen angezeigt. Um alle anzuzeigen, aktivieren Sie links unten das
Kontrollkästchen Erweitert.
51
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Führen Sie diese Schritte für jedes Dienstkonto in der Umgebung durch, das die
Delegierung benötigt. In diesem Beispiel ist dies die Dienstkontenliste.
Konfigurieren von SharePoint Server
Nachdem Active Directory und DNS konfiguriert wurden, kann die Webanwendung in
Ihrer SharePoint Server 2010-Farm erstellt werden. In diesem Artikel wird an dieser
52
Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint
Server 2010)
Stelle vorausgesetzt, dass die Installation von SharePoint Server abgeschlossen ist und
die Farmtopologie und unterstützende Infrastruktur (z. B. Lastenausgleich) konfiguriert
sind. Weitere Informationen zum Installieren und Konfigurieren Ihrer SharePoint-Farm
finden Sie unter Bereitstellung für SharePoint Server 2010.
Konfigurieren verwalteter Dienstkonten
Konfigurieren Sie vor dem Erstellen von Webanwendungen die in den vorherigen
Schritten erstellten Dienstkonten in SharePoint Server als verwaltete Dienstkonten.
Wenn Sie dies vorab tun, können Sie diesen Schritt überspringen, wenn Sie die
Webanwendungen selbst erstellen.
So konfigurieren Sie ein verwaltetes Konto
1. Klicken Sie in der SharePoint-Zentraladministration auf Sicherheit.
2. Klicken Sie unter Allgemeine Sicherheit auf Verwaltete Konten konfigurieren.
3. Klicken Sie auf Verwaltetes Konto registrieren, und erstellen Sie für jedes
Dienstkonto ein verwaltetes Konto. In diesem Beispiel wurden fünf verwaltete
Dienstkonten erstellt:
Konto
Zweck
VMLAB\svcSP10Search
SharePoint-Suchdienstkonto
53
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Konto
Zweck
VMLAB\svcSearchAdmin
Dienstkonto für die SharePoint-Suchverwaltung
VMLAB\svcSearchQuery
Dienstkonto für die SharePoint-Suchabfrage
VMLAB\svcPortal10App
IIS-Anwendungspoolkonto für die Webanwendung
„portal“
VMLAB\svcTeams10App
IIS-Anwendungspoolkonto für die Webanwendung
„teams“
Hinweis:
Verwaltete Konten in SharePoint Server 2010 entsprechen nicht verwalteten
Dienstkonten im Active Directory von Windows Server 2008 R2.
Erstellen der SharePoint Server-Suchdienstanwendung
In diesem Beispiel wird die SharePoint Server-Suchdienstanwendung so konfiguriert, dass
sichergestellt ist, dass die neu erstellte Webanwendung erfolgreich durchforstet und
durchsucht werden kann. Erstellen Sie eine neue SharePoint ServerSuchdienstanwendung, und legen Sie den Such-, Abfrage- und Verwaltungsdienst auf dem
Anwendungsserver ab (in diesem Beispiel vmSP10App01). Eine ausführliche Erläuterung
der Konfiguration der Suchdienstanwendung finden Sie im englischsprachigen Blogbeitrag
Step-by-Step: Provisioning the Search Service Application.
Hinweis:
Die Installation aller Suchdienste auf einem einzelnen Anwendungsserver ist nur für
Demonstrationszwecke gedacht. Eine vollständige Erläuterung der SharePoint
Server 2010-Suchtopologieoptionen und empfohlenen Vorgehensweisen bietet dieser
Artikel nicht.
Erstellen der Webanwendung
Wechseln Sie zur Zentraladministration, und wählen Sie im Abschnitt
Anwendungsverwaltung die Option Webanwendungen verwalten aus. Klicken Sie auf
54
Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint
Server 2010)
der Symbolleiste auf Neu, und erstellen Sie Ihre Webanwendung. Vergewissern Sie sich,
dass Folgendes konfiguriert ist:

Wählen Sie Klassischer Authentifizierungsmodus aus.

Konfigurieren Sie den Port und Hostheader für jede Webanwendung.

Wählen Sie Aushandeln als Authentifizierungsanbieter aus.

Wählen Sie unter Anwendungspool die Option Neuen Anwendungspool erstellen
und dann das im vorherigen Schritt erstellte verwaltete Konto aus.
In diesem Beispiel wurden zwei Webanwendungen mit den folgenden Einstellungen
erstellt:
Einstellung
http://Webanwendung „Portal“
http://Webanwendung „Teams“
Authentifizierung
Klassischer Modus
Klassischer Modus
IIS-Website
Name: SharePoint – Portal – Name: SharePoint – Teams –
80
5555
Port: 80
Port: 80
Hostheader: Portal
Hostheader: Teams
Sicherheitskonfiguration Authentifizierungsanbieter: Authentifizierungsanbieter:
Aushandeln
Aushandeln
Anonymen Zugriff zulassen: Anonymen Zugriff zulassen: Nein
Nein
Secure Socket Layer verwenden:
Secure Socket Layer
Nein
verwenden: Nein
Öffentliche URL
http://Portal:80
http://Teams:5555
Anwendungspool
Name: SharePoint –
Portal80
Name: SharePoint – Teams5555
Sicherheitskonto:
vmlab\svcPortal10App
55
Sicherheitskonto:
vmlab\svcTeams10App
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Beim Erstellen der neuen Webanwendung erstellen Sie auch eine neue Zone (die
Standardzone), die für die Verwendung des Authentifizierungsanbieters Windows
konfiguriert wird. Durch Auswählen der Webanwendung in deren Verwaltungsbereich
und Klicken auf Authentifizierungsanbieter auf der Symbolleiste können Sie den
Anbieter und seine Einstellungen für die Zone anzeigen. Im Dialogfeld mit den
Authentifizierungsanbietern sind alle Zonen für die ausgewählte Webanwendung sowie
der Authentifizierungsanbieter für jede Zone enthalten. Durch Auswählen der Zone
werden die Authentifizierungsoptionen für die jeweilige Zone angezeigt.
Im Dialogfeld mit den Authentifizierungsanbietern sind alle Zonen für die ausgewählte
Webanwendung sowie der Authentifizierungsanbieter für jede Zone enthalten.
Durch Auswählen der Zone werden die Authentifizierungsoptionen für die jeweilige
Zone angezeigt.
56
Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint
Server 2010)
Wenn Sie die Windows-Einstellungen falsch konfiguriert haben und NTLM beim
Erstellen der Webanwendung ausgewählt haben, können Sie im Dialogfeld
Authentifizierungsfeatures bearbeiten die Einstellung in Aushandeln ändern. Falls
Klassischer Modus nicht als Authentifizierungsmodus ausgewählt wurde, müssen Sie
entweder eine neue Zone erstellen, indem Sie die Webanwendung auf eine neue IISWebsite erweitern, oder die Webanwendung löschen und neu erstellen.
57
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Erstellen von Websitesammlungen
Zum Testen, ob die Authentifizierung ordnungsgemäß funktioniert, müssen Sie in jeder
Webanwendung mindestens eine Websitesammlung erstellen. Das Erstellen und
Konfigurieren der Websitesammlung wirkt sich nicht auf die Funktionalität von Kerberos
aus, weshalb Sie die Anleitungen zum Erstellen einer Websitesammlung unter Erstellen
einer Websitesammlung (SharePoint Foundation 2010) befolgen können.
Für dieses Beispiel wurden zwei Websitesammlungen konfiguriert:
Webanwendung
Pfad der Websitesammlung
Vorlage der Websitesammlung
http://portal
/
Veröffentlichungsportal
http://teams:5555
/
Teamwebsite
Erstellen alternativer Zugriffszuordnungen
Die Portalwebanwendung wird für die Verwendung von HTTPS und HTTP konfiguriert,
um zu zeigen, wie die Delegierung bei durch SSL geschützten Diensten funktioniert. Zum
Konfigurieren von SSL benötigt die Portwebanwendung für den HTTPS-Endpunkt eine
zweite alternative SharePoint Server-Zugriffszuordnung.
So konfigurieren Sie alternative Zugriffszuordnungen
1. Klicken Sie in der Zentraladministration auf Anwendungsverwaltung.
2. Klicken Sie im Abschnitt Webanwendungen auf Alternative Zugriffszuordnungen
konfigurieren.
58
Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint
Server 2010)
3. Wählen Sie in der Dropdownliste Alternative Zugriffszuordnungssammlung
auswählen den Eintrag Alternative Zugriffszuordnungssammlung ändern aus.
4. Wählen Sie die Webanwendung „portal“ aus.
5. Klicken Sie auf der oberen Symbolleiste auf Öffentliche URLs bearbeiten.
59
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
6. Fügen Sie in einer freien Zone die HTTPS-URL der Webanwendung hinzu. Diese URL
wird der Name auf dem SSL-Zertifikat, das Sie in den nächsten Schritten erstellen.
7. Klicken Sie auf Speichern.
Die HTTPS-URL sollte nun in der Zonenliste der Webanwendung enthalten sein.
IIS-Konfiguration
Installieren von SSL-Zertifikaten
Sie müssen auf jedem Server mit SharePoint Server, der als Host des
Webanwendungsdiensts dient, für jede mit SSL arbeitende Webanwendung ein SSLZertifikat konfigurieren. Die Konfiguration eines SSL-Zertifikats und einer
Zertifikatsvertrauensbeziehung wird ebenfalls in diesem Artikel nicht behandelt. Im
Abschnitt „SSL-Konfiguration“ in diesem Artikel finden Sie Verweise auf Informationen
zum Konfigurieren von SSL-Zertifikaten in Internetinformationsdienste (IIS).
Sicherstellen, dass die Kerberos-Authentifizierung aktiviert ist
So überprüfen Sie, ob die Kerberos-Authentifizierung für die Website aktiviert ist
1. Öffnen Sie den Internetinformationsdienste-Manager.
2. Wählen Sie die zu überprüfende IIS-Website aus.
3. Doppelklicken Sie in der Ansicht Features unter IIS auf Authentifizierung.
60
Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint
Server 2010)
4. Windows-Authentifizierung muss aktiviert sein.
5. Wählen Sie rechts unter Aktionen den Eintrag Anbieter aus. Vergewissern Sie sich,
dass Negotiate der oberste Listeneintrag ist.
61
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Sicherstellen, dass die Kernelmodusauthentifizierung deaktiviert ist
Die Kernelmodusauthentifizierung wird von SharePoint Server 2010 nicht unterstützt.
Für alle SharePoint Server-Webanwendungen muss die Kernelmodusauthentifizierung in
den dazugehörigen IIS-Websites standardmäßig deaktiviert sein. Selbst in Fällen, in
denen die Webanwendung für eine vorhandene IIS-Website konfiguriert wurde,
deaktiviert SharePoint Server die Kernelmodusauthentifizierung, da eine neue
Webanwendung in der vorhandenen IIS-Website bereitgestellt wird.
So prüfen Sie, ob die Kernelmodusauthentifizierung deaktiviert ist
1. Öffnen Sie den Internetinformationsdienste-Manager.
2. Wählen Sie die zu überprüfende IIS-Website aus.
3. Doppelklicken Sie in der Ansicht Features unter IIS auf Authentifizierung.
4. Windows-Authentifizierung muss aktiviert sein.
5. Klicken Sie auf Erweiterte Einstellungen.
6. Vergewissern Sie sich, dass die EAP- und Kernelmodusauthentifizierung deaktiviert sind.
62
Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint
Server 2010)
Konfigurieren der Firewall
Stellen Sie vor dem Testen der Authentifizierung sicher, dass Clients an den
konfigurierten HTTP-Ports auf die SharePoint Server-Webanwendungen zugreifen
können. Stellen Sie ferner sicher, dass Clients sich bei Active Directory authentifizieren
und über die Kerberos-Standardports Kerberos-Tickets vom Schlüsselverteilungscenter
anfordern können.
Öffnen von Firewallports zum Zulassen von eingehendem HTTPDatenverkehr an Standard- und Nicht-Standardports
In der Regel müssen Sie die Firewall auf jedem Front-End-Webserver für das Zulassen
eingehender Anforderungen über die TCP-Ports 80 und 443 konfigurieren. Öffnen Sie für
die Windows-Firewall den Abschnitt Erweiterte Sicherheit, und wechseln Sie zu den
folgenden Regeln für eingehenden Datenverkehr:
63
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte

WWW-Dienste (Eingehender HTTP-Datenverkehr)

WWW-Dienste (Eingehender HTTPS-Datenverkehr)
Vergewissern Sie sich, dass die entsprechenden Ports in Ihrer Umgebung geöffnet sind.
In diesem Beispiel wird auf SharePoint Server über HTTP (Port 80) zugegriffen, weshalb
diese Regel aktiviert wurde.
Darüber hinaus muss der in diesem Beispiel verwendete Nicht-Standardport (TCP 5555)
geöffnet werden. Wenn Sie über an Nicht-Standardports ausgeführte Websites
verfügen, müssen Sie benutzerdefinierte Regeln konfigurieren, die HTTP-Datenverkehr
an diesen Ports zulassen.
Sicherstellen, dass sich Clients mit Kerberos-Ports in der Active
Directory-Rolle verbinden können
Zum Verwenden der Kerberos-Authentifizierung müssen Clients TGTs (Ticket Granting
Tickets) und Diensttickets über den UDP- oder TCP-Port 88 aus dem
Schlüsselverteilungscenter abrufen. Wenn Sie die Active Directory-Rolle in Windows
Server 2008 oder höher installieren, wird die Rolle standardmäßig mit den folgenden
Regeln für eingehenden Datenverkehr konfigurieren, um diese Kommunikation
standardmäßig zuzulassen:

Kerberos-Schlüsselverteilungscenter - PCR (TCP eingehend)

Kerberos-Schlüsselverteilungscenter - PCR (UDP eingehend)

Kerberos-Schlüsselverteilungscenter - TCP eingehend

Kerberos-Schlüsselverteilungscenter - UDP eingehend
Stellen Sie sicher, dass diese Regeln aktiviert sind und sich Clients über Port 88 mit dem
Schlüsselverteilungscenter (Domänencontroller) verbinden können.
64
Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint
Server 2010)
Testen der Browserauthentifizierung
Nach der Konfiguration von Active Directory, DNS und SharePoint Server können Sie nun
testen, ob die Kerberos-Authentifizierung ordnungsgemäß konfiguriert ist, indem Sie im
Browser zu Ihren Webanwendungen wechseln. Beim Testen im Browser müssen die
folgenden Bedingungen erfüllt werden:
1. Der Testbenutzer ist bei einem Computer mit Windows XP, Vista oder Windows 7
angemeldet, der der Domäne beigetreten ist, in der SharePoint Server installiert ist,
oder bei einer Domäne angemeldet, der von der SharePoint Server-Domäne
vertraut wird.
2. Der Testbenutzer verwendet Internet Explorer 7.0 oder höher (Internet Explorer 6.0
wird von SharePoint Server 2010 nicht mehr unterstützt. Siehe Planen im Hinblick
auf die Browserunterstützung (SharePoint Server 2010)).
3. Die integrierte Windows-Authentifizierung ist im Browser aktiviert. Vergewissern Sie
sich, dass unter Internetoptionen auf der Registerkarte Erweitert im Abschnitt
Sicherheit die Option Integrierte Windows-Authentifizierung aktivieren* aktiviert ist:
4. Das lokale Intranet ist für das automatische Anmelden von Clients konfiguriert.
Wählen Sie in Internetoptionen auf der Registerkarte Sicherheit die Option Lokales
65
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Intranet aus, und klicken Sie auf die Schaltfläche Stufe anpassen. Führen Sie einen
Bildlauf nach unten durch, und prüfen Sie, ob Automatisches Anmelden nur in der
Intranetzone aktiviert ist.
Führen Sie einen Bildlauf nach unten durch, und prüfen Sie, ob Automatisches
Anmelden nur in der Intranetzone aktiviert ist.
66
Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint
Server 2010)
Hinweis:
Es ist möglich, die automatische Anmeldung für andere Zonen zu konfigurieren, doch in
diesem Artikel werden die bewährten Methoden bei den Internet ExplorerSicherheitszonen nicht behandelt. Zu Demonstrationszwecken wird für alle Tests die
Intranetzone verwendet.
5. Stellen Sie sicher, dass unter Internetoptionen->Sicherheit->Intranetzone->Sites die
Option Intranetnetzwerk automatisch ermitteln aktiviert ist.
67
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
6. Wenn Sie vollqualifizierte Domänennamen für den Zugriff auf die SharePoint ServerWebanwendungen verwendet, stellen Sie sicher, dass die vollqualifizierten
Domänennamen in die Intranetzone einbezogen werden, entweder explizit oder
durch Platzhalterinklusion (z. B. „*.vmlab.local“).
68
Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint
Server 2010)
Die einfachste Möglichkeit zum Bestimmen, ob die Kerberos-Authentifizierung
verwendet wird, ist das Anmelden bei einer Testarbeitsstation und Navigieren zu der
betreffenden Website. Wenn der Benutzer nicht zur Angabe von Anmeldeinformationen
aufgefordert und die Website ordnungsgemäß angezeigt wird, können Sie davon
ausgehen, dass die integrierte Windows-Authentifizierung funktioniert. Der nächste
Schritt besteht im Bestimmen, ob das Protokoll Verhandeln zum Aushandeln der
Kerberos-Authentifizierung als Authentifizierungsanbieter für die Anforderung
verwendet wurde. Die kann auf folgende Weisen geschehen:
Sicherheitsprotokolle des Front-End-Webservers
Wenn die Kerberos-Authentifizierung ordnungsgemäß funktioniert, werden auf den
Front-End-Webservern in den Sicherheitsereignisprotokollen Anmeldeereignisse mit der
Ereignis-ID 4624 angezeigt.
69
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
In den allgemeinen Informationen zu diesen Ereignissen sollten die auf dem Computer
protokollierte Sicherheits-ID und der verwendete Anmeldeprozess enthalten sein, der
Kerberos lauten muss.
70
Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint
Server 2010)
KList
KList ist ein Befehlszeilenprogramm im Standardfunktionsumfang von Windows Server 2008
und Windows Server 2008 R2, mit dem Kerberos-Tickets auf einem bestimmten Computer
aufgelistet und gelöscht werden können. Öffnen Sie zum Ausführen von KLIST in Windows
Server 2008 eine Eingabeaufforderung, und geben Sie Klist ein.
Wenn Sie den Ticketcache löschen möchten, führen Sie KList mit dem optionalen
Parameter purge aus: Klist purge
KerbTray
KerbTray ist ein kostenloses Hilfsprogramm im Funktionsumfang der Windows
Server 2000 Resource Kit-Tools, das auf Clientcomputern zum Anzeigen des KerberosTicketcaches verwendet werden kann. Es kann an unter Windows 2000 Resource Kit
Tool: Kerbtray.exe heruntergeladen und anschließend installiert werden. Führen Sie
nach der Installation die folgenden Schritte aus:
1. Navigieren Sie zu den Websites, auf denen die Kerberos-Authentifizierung
verwendet wird.
2. Führen Sie KerbTray.exe aus.
71
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
3. Zeigen Sie den Kerberos-Ticketcache an, indem Sie auf der Taskleiste mit der
rechten Maustaste auf das KerbTray-Symbol klicken und List Tickets auswählen.
4. Prüfen Sie, ob die Diensttickets für die Webanwendungen, die Sie authentifiziert
haben, in der Liste der zwischengespeicherten Tickets enthalten sind. In diesem
Beispiel sind wir zu den folgenden Websites navigiert, für die die folgenden
Dienstprinzipalnamen registriert sind:
Website-URL
Dienstprinzipalname
http://portal
HTTP/Portal.vmlab.local
http://teams:5555
HTTP/Teams.vmlab.local
72
Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint
Server 2010)
73
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Fiddler
Fiddler ist ein kostenloses Analyseprogramm für HTTP-Datenverkehr, das an folgender
Adresse heruntergeladen werden kann: http://www.fiddlertool.com/. In Fiddler können Sie
das Aushandeln der Kerberos-Authentifizierung zwischen Client und Server verfolgen
und in den HTTP-Headern jeder Anforderung die vom Client an den Server gesendeten
Kerberos-Diensttickets erkennen. Führen Sie zum Überprüfen, ob die KerberosAuthentifizierung ordnungsgemäß funktioniert, in Fiddler die folgenden Schritte aus:
1. Laden Sie Fiddler (www.fiddlertool.com) auf den Clientcomputer herunter, und
installieren Sie das Programm.
2. Melden Sie sich vom Desktopcomputer ab und wieder an, um zwischengespeicherte
Verbindungen mit dem Webserver zu löschen und den Browser zu zwingen, die
Kerberos-Authentifizierung auszuhandeln und den Authentifizierungshandshake
durchzuführen.
3. Starten Sie Fiddler.
4. Öffnen Sie Internet Explorer, und wechseln Sie zur Webanwendung (http://portal in
unserem Beispiel).
In Fiddler können Sie die Anforderungen und Antworten an den SharePoint ServerFront-End-Webserver nachverfolgen.
Der erste HTTP 401-Befehl ist der Versuch des Browsers, die GET-Anforderung ohne
Authentifizierung durchzuführen.
74
Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint
Server 2010)
Als Antwort sendet der Server die Meldung „HTTP 401 - Nicht autorisiert“ zurück und
gibt in der Antwort an, welche Authentifizierungsmethode unterstützt wird.
In der nächsten Anforderung sendet der Client erneut die vorherige Anforderung, wobei
jedoch dieses Mal das Dienstticket für die Webanwendung in den Headern der
Anforderung mit gesendet wird.
75
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Im Inspektorfenster von Fiddler sehen Sie in der Ansicht „Auth“ auch das KerberosTicket in der Anforderung und die Kerberos-Antwort:
76
Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint
Server 2010)
Bei erfolgreicher Authentifizierung sendet der Server die angeforderte Ressource
zurück.
NetMon 3.4
NetMon 3.4 ist ein kostenlose Analyseprogramm von Netzwerkpaketen von, das aus
dem Microsoft Download Center heruntergeladen werden kann: Microsoft Network
Monitor 3.4.
77
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
In NetMon sehen Sie alle TCP-Anforderungen und -Antworten an das
Schlüsselverteilungscenter und die SharePoint Server-Webserver und erhalten dadurch
eine vollständige Sicht auf den Datenverkehr, der die komplette
Authentifizierungsanforderung bildet. Führen Sie zum Überprüfen mit NetMon, ob die
Kerberos-Authentifizierung funktioniert, die folgenden Schritte aus:
1. Laden Sie NetMon 3.4 (Microsoft Network Monitor 3.4) herunter, und installieren Sie
das Programm.
2. Melden Sie sich vom Client ab und anschließend wieder an, um den KerberosTicketcache zu löschen. Sie können den Ticketcache auch mithilfe von KerbTray
löschen, indem Sie mit der rechten Maustaste auf KerbTray klicken und Purge
Tickets auswählen.
3. Starten Sie NetMon im Administratormodus. Klicken Sie mit der rechten Maustaste
auf die NetMon-Verknüpfung, und wählen Sie Als Administrator ausführen aus.
4. Starten Sie eine neue Erfassung für die Schnittstellen, die mit dem Active DirectoryDomänencontroller in Ihrer Umgebung und den Front-End-Webservern verbunden sind.
5. Öffnen Sie Internet Explorer, und wechseln Sie zur Webanwendung.
6. Beenden Sie, sobald die Website angezeigt wird, die Erfassung, und fügen Sie einen
Anzeigefilter hinzu, um die Frames für Kerberos-Authentifizierung und HTTPDatenverkehr anzuzeigen.
78
Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint
Server 2010)
7. Im Framesfenster werden sowohl der HTTP- als auch der Kerberos 5-Datenverkehr
angezeigt.
a. Die ersten beiden Frames sind die ursprüngliche Anforderung und
Antwort, wobei der Client und der Server die Verwendung von Kerberos
für die Authentifizierung aushandeln.
b. Die folgenden Kerberos 5-Frames sind die Clientanforderungen des
Ticket Granting Tickets für den Bereich „VMLAL.Local“ und der
Kerberos-Diensttickets für den Dienstprinzipalnamen (SPN)
„HTTP/portal.VMLAB.local“.
c. Die letzten HTTP-Frames gehören schließlich zum Client, der die
Diensttickets verwendet, um sich beim Webserver zu authentifizieren,
und zum Server, der den Client erfolgreich authentifiziert und die
Antwort zurückgibt.
Testen der Kerberos-Authentifizierung über SSL
Zum eindeutigen Bestimmen der Dienstprinzipalnamen, die angefordert werden, wenn
ein Client auf eine durch SSL geschützte Ressource zugreift, können Sie mit einem Tool
wie NetMon den Datenverkehr zwischen Client und Server erfassen und die
Anforderungen von Kerberos-Diensttickets überprüfen.
1. Melden Sie sich entweder vom Clientcomputer ab und anschließend wieder an, oder
löschen Sie alle Kerberos-Tickets im Cache mithilfe von KerbTray.
2. Starten Sie eine neue NetMon-Erfassung auf dem Clientcomputer. NetMon muss
mit Administratorberechtigungen gestartet werden.
3. Navigieren Sie zur durch SSL geschützten Webanwendung (in diesem Beispiel
Forderungen an den Windows-Tokendienst (C2WTS)).
79
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
4. Beenden Sie die NetMon-Erfassung, und untersuchen Sie den KerberosV5Datenverkehr. Anweisungen zum Filter der Erfassungsanzeige finden Sie in den
Anweisungen im Abschnitt NetMon 3.4 dieses Artikels.
5. Suchen Sie die TGS-Anforderung, die der Client sendet. In der Anforderung ist der
angeforderte Dienstprinzipalname im Parameter „Sname“ enthalten.
Beachten Sie, dass „Sname“ HTTP/portal.vmlab.local und nicht
HTTPS/portal.vmlab.local ist.
Testen von SharePoint Server-Suchindex und -abfrage
Überprüfen des Browserzugriffs auf den Indexservern
Stellen Sie vor einer Durchforstung sicher, dass der Indexserver auf die Webanwendungen
zugreifen und sich ordnungsgemäß authentifizieren kann. Melden Sie sich beim
Indexserver an, und öffnen Sie im Browser die Test-Websitesammlungen. Wenn die
Websites ordnungsgemäß angezeigt und keine Authentifizierungsdialogfelder angezeigt
werden, fahren Sie mit dem nächsten Schritt fort. Sollten beim Zugriff auf die Websites im
Browser Probleme auftreten, kehren Sie zu den vorherigen Schritten zurück, um zu
prüfen, ob alle Konfigurationsschritte ordnungsgemäß ausgeführt wurden.
80
Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint
Server 2010)
Hochladen von Beispielinhalten und Durchführen einer
Durchforstung
Laden Sie in jeder Websitesammlung ein Ausgangsdokument (das bei einer Suche leicht
zu bestimmen ist) in eine Dokumentbibliothek hoch. Erstellen Sie hierzu beispielsweise
ein Textdokument mit den Worten „Alpha, Beta, Gamma“.
Wechseln Sie zur SharePoint-Zentraladministration, und beginnen Sie eine vollständige
Durchforstung der Inhaltsquelle Lokale SharePoint-Websites (die standardmäßig die
beiden Test-Websitesammlungen enthalten sollte).
Testen der Suche
Bei erfolgreicher Indizierung sollten der Index durchsuchbare Elemente und das
Durchforstungsprotokoll keine Fehler enthalten.
Hinweis: Wenn Sie die Benutzerprofilanwendung konfiguriert haben und den
Profilspeicher durchforsten, müssen Sie für die Benutzerprofilanwendung die
entsprechenden Berechtigungen konfigurieren, um dem Inhaltszugriffskonto den Zugriff
auf Profildaten zu ermöglichen. Wenn Sie nicht die Berechtigungen für die
81
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Benutzerprofilanwendung konfiguriert haben, enthalten die Durchforstungsprotokolle
Fehler, die angeben, dass der Crawler nicht auf den Profildienst zugreifen konnten, da
beim Versuch des Zugriffs auf den Dienst ein HTTP 401-Fehler aufgetreten ist. Dieser
Fehler ist nicht auf Kerberos, sondern auf das Inhaltszugriffskonto zurückzuführen, das
keine Berechtigungen zum Lesen der Profildaten hat.
Hinweis:
Wenn Sie die Benutzerprofilanwendung konfiguriert haben und den Profilspeicher
durchforsten, müssen Sie für die Benutzerprofilanwendung die entsprechenden
Berechtigungen konfigurieren, um dem Inhaltszugriffskonto den Zugriff auf Profildaten
zu ermöglichen. Wenn Sie nicht die Berechtigungen für die Benutzerprofilanwendung
konfiguriert haben, enthalten die Durchforstungsprotokolle Fehler, die angeben, dass
der Crawler nicht auf den Profildienst zugreifen konnten, da beim Versuch des Zugriffs
auf den Dienst ein HTTP 401-Fehler aufgetreten ist. Dieser Fehler ist nicht auf Kerberos,
sondern auf das Inhaltszugriffskonto zurückzuführen, das keine Berechtigungen zum
Lesen der Profildaten hat.
Wechseln Sie als Nächstes zu den beiden Websitesammlungen, und führen Sie eine
Suche nach dem Ausgangsdokument durch. Die Suchabfragen der beiden
Websitesammlungen sollten das hochgeladene Ausgangsdokument zurückgeben.
82
Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint
Server 2010)
Testen der Front-End-Webserverdelegierung
Als letzten Schritt in diesem Szenario wenden Sie das Webpart RSS-Anzeige auf jede
Websitesammlung an, um sicherzustellen, dass die Delegierung sowohl lokal als auch
remote funktioniert.
Konfigurieren von RSS-Feedquellen für jede Websitesammlung
Bei der Portalanwendung müssen Sie RSS-Feeds für die Websitesammlung aktivieren.
Befolgen Sie zum Aktivieren von RSS-Feeds die Anweisungen unter Verwalten von RSSFeeds auf Office.com.
Erstellen Sie nach der Aktivierung von RSS-Feeds eine neue benutzerdefinierte Liste, der
Sie zu Testzwecken ein Element hinzufügen. Navigieren Sie zum Symbolleistenmenü
Liste, und klicken Sie auf RSS-Feed, um den RSS-Feed anzuzeigen. Kopieren Sie die FeedURL für die Verwendung in den folgenden Schritten.
83
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Führen Sie diesen Schritt für jede Websitesammlung aus.
Hinzufügen von Webparts vom Typ „RSS-Anzeige“ zur Homepage
jeder Websitesammlung
Für die Anwendung portal müssen Sie die Websitesammlungs-Funktion Features von
SharePoint Enterprise aktivieren, um das Webpart RSS-Anzeige verwenden zu können.
Fügen Sie nach der Aktivierung zwei Webparts vom Typ RSS-Anzeige der Homepage hinzu.
Konfigurieren Sie für das erste Webpart die Feed-URL so, dass sie auf den lokalen RSSFeed zeigt, den Sie im vorherigen Schritt erstellt haben. Konfigurieren Sie für das zweite
Webpart die Feed-URL so, dass sie auf die URL des Remote-Feeds zeigt. Im Anschluss
sollten beide Webparts Inhalte aus dem lokalen und Remote-RSS-Feed anzeigen.
84
Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint
Server 2010)
85
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Kerberos-Authentifizierung für SQL OLTP
(SharePoint Server 2010)
Veröffentlichung: 02.12.10
In diesem Szenario wird das Konfigurieren der Kerberos-Authentifizierung für den SQL
Server-Cluster in der Beispielumgebung veranschaulicht. Im Anschluss wird die
Authentifizierung von SharePoint Server-Diensten beim Cluster mit dem KerberosProtokoll überprüft.
In diesem Szenario führen Sie folgende Schritte aus:

Konfigurieren eines bestehenden SQL Server 2008 R2-Clusters für die KerberosAuthentifizierung

Sicherstellen, dass der Client sich mithilfe von Kerberos-Authentifizierung beim
Cluster authentifizieren kann

Erstellen einer Testdatenbank und von Beispieldaten für spätere Szenarien
86
Kerberos-Authentifizierung für SQL OLTP (SharePoint Server 2010)
Hinweis:
Es ist nicht erforderlich, die Kerberos-Authentifizierung für SQL Server für zentrale
Datendienste von SharePoint Server (beispielsweise Verbindungen zu
Plattformdatenbanken) zu verwenden. Die Beispielumgebung verfügt lediglich über
einen SQL Server-Cluster, auf dem zusätzliche Beispieldatenbanken für spätere
Szenarien gehostet werden. Damit die Delegierung in diesen Szenarien ordnungsgemäß
funktioniert, müssen vom SQL Server-Cluster mit Kerberos authentifizierte
Verbindungen akzeptiert werden.
Hinweis:
Bei einer Installation unter Windows Server 2008 muss ggf. der folgende Hotfix für die
Kerberos-Authentifizierung installiert werden:
Kerberos-Authentifizierung misslingt bei Verwenden des AES-Algorithmus auf einem
Computer mit Windows Server 2008 oder Windows Vista mit dem Fehlercode
0X80090302 oder 0x8009030f (http://support.microsoft.com/kb/969083/de-de)
Checkliste für die Konfiguration
Konfigurationsbereich
Beschreibung
Konfigurieren von DNS
DNS (A)-Hosteinträge für die IP-Adresse des SQL ServerClusters erstellen
Konfigurieren von Active Dienstprinzipalnamen (SPN) für den SQL Server-Dienst
Directory
erstellen
Überprüfen der SQL
Server-KerberosKonfiguration
SQL-Verbindungsmetadaten mit SQL Server Management
Studio abfragen, um die Verwendung des KerberosAuthentifizierungsprotokolls sicherzustellen
87
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Details der Szenarioumgebung
SQL Database Engine Identity
Vmlab\svcSQL
SQL
Local SQL Client Alias:
SPFarmSQL
DNS (A):
MySQLCluster.vmlab.local
Cluster IP:
192.168.8.135
vmSQL2k8r2-01
Default Instance
Port: 1433
vmSQL2k8r2-02
SharePoint
SQL Cluster
In diesem Szenario wird eine SharePoint Server-Farm veranschaulicht, die für Verwendung
eines SQL-Alias in einer Verbindung mit einem SQL Server-Cluster konfiguriert wurde, der
für die Verwendung der Kerberos-Authentifizierung konfiguriert ist.
Schrittweise Konfigurationsanweisungen
Konfigurieren von DNS
Konfigurieren Sie das DNS für den SQL Server-Cluster in Ihrer Umgebung. Konfigurieren
Sie das DNS für den SQL Server-Cluster in Ihrer Umgebung. In diesem Beispiel wird ein
SQL Server-Cluster (MySqlCluster.vmlab.local) verwendet, der auf Port 1433 unter der
Cluster-IP-Adresse 192.168.8.135/4 ausgeführt wird. Der Cluster ist Aktiv/Passiv, und
das SQL Server-Datenbankmodul wird in der Standardinstanz des ersten Knotens
ausgeführt.
Allgemeine Informationen zur DNS-Konfiguration finden Sie unter Verwalten von DNSEinträgen.
In diesem Beispiel wurde ein DNS (A)-Eintrag für den SQL Server-Cluster konfiguriert.
88
Kerberos-Authentifizierung für SQL OLTP (SharePoint Server 2010)
Hinweis:
Da SQL Server-SPNs einen Instanzennamen enthalten (wenn die zweite benannte
Instanz auf dem gleichen Computer verwendet wird), kann der DNS-Host für den Cluster
rein technisch als CNAME-Alias registriert und so das in Anhang A, Bekannte KerberosKonfigurationsprobleme (SharePoint Server 2010), beschriebene CNAME-Problem
vermieden werden. Wenn Sie CNAME-Einträge verwenden möchten, sollten Sie mithilfe
des DNS (A)-Eintragshostnamens für die CNAME-Aliase einen SPN registrieren.
Konfigurieren von Active Directory
Damit die Kerberos-Authentifizierung für Clients von SQL Server verwendet werden
kann, müssen Sie einen Dienstprinzipalnamen (SPN) für das Dienstkonto registrieren,
mit dem SQL Server ausgeführt wird. Dienstprinzipalnamen für das SQL ServerDatenbankmodul weisen bei Konfigurationen, die die Standardinstanz anstelle der
benannten SQL Server-Instanz verwenden, folgendes Format auf:
89
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
MSSQLSvc/<FQDN>:Port
Weitere Informationen zum Registrieren von Dienstprinzipalnamen für SQL Server 2008
finden Sie unter Registrieren eines Dienstprinzipalnamens.
Im Beispiel wurde der SQL Server-SPN im Dienstkonto des SQL Server-Datenbankmoduls
(vmlab\svcSQL) mit dem folgenden SetSPN-Befehl konfiguriert:
SetSPN -S MSSQLSVC/MySQLCluster.vmlab.local:1433 vmlab\svcSQL
Benannte SQL Server-Instanzen
Wenn Sie anstelle der Standardinstanz benannte SQL Server-Instanzen verwenden,
müssen Sie Dienstprinzipalnamen speziell für die SQL Server-Instanz und für den SQL
Server-Browser-Dienst registrieren. Weitere Informationen zum Konfigurieren der
Kerberos-Authentifizierung für benannte Instanzen finden Sie unter:

Registrieren eines Dienstprinzipalnamens

Ein SPN für den SQL Server-Browser-Dienst ist erforderlich, wenn Sie eine
Verbindung zu einer benannten Instanz von SQL Server Analysis Services oder SQL
Server herstellen
SQL-Aliase
Eine bewährte Vorgehensweise beim Erstellen einer Farm besteht darin, SQL-Aliase für
Verbindungen zum SQL Server-Computer zu verwenden. Das Kerberos-Format des SPN
bleibt bei der Verwendung von SQL-Aliasen unverändert. Sie verwenden auch weiterhin
den registrierten DNS-Hostnamen (A-Eintrag) im SPN für SQL Server. Wenn Sie
beispielsweise den Alias „SPFARMSQL“ für „MySQLCluster.vmlab.local“ registrieren,
lautet der SPN für die Verbindung mit SPFarmSQL weiterhin
„MSSQLSVC/MySQLCluster.vmlab.local:1433“.
Überprüfen der SQL Server-Kerberos-Konfiguration
Nachdem das DNS und die Dienstprinzipalnamen konfiguriert wurden, können Sie die
Computer mit SharePoint Server neu starten und überprüfen, ob die Authentifizierung
der SharePoint Server-Dienste für SQL Server jetzt mit dem Kerberos-Protokoll
durchgeführt wird.
90
Kerberos-Authentifizierung für SQL OLTP (SharePoint Server 2010)
So überprüfen Sie die Clusterkonfiguration
1. Starten Sie die Computer mit SharePoint Server neu – Dadurch werden alle Dienste
neu gestartet und gezwungen, das Herstellen der Verbindung sowie die
Authentifizierung unter Verwendung des Kerberos-Protokolls zu wiederholen.
2. Öffnen Sie SQL Server Management Studio, und führen Sie folgende Abfrage aus:
Select
s.session_id,
s.login_name,
s.host_name,
c.auth_scheme
from
sys.dm_exec_connections c
inner join
sys.dm_exec_sessions s
on c.session_id = s.session_id
Die Abfrage gibt Metadaten zu den einzelnen Verbindungen und Sitzungen zurück.
Mithilfe der Sitzungsdaten können die Verbindungsquelle sowie das
Authentifizierungsschema für die Verbindung identifiziert werden.
3. Vergewissern Sie sich, dass die SharePoint Server-Dienste mit dem KerberosProtokoll authentifiziert werden.
4. Wenn die Kerberos-Authentifizierung ordnungsgemäß konfiguriert wurde, finden
Sie in der Spalte auth_scheme der Abfrage den Eintrag Kerberos.
91
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Erstellen einer SQL Server-Testdatenbank sowie einer
Testtabelle
Um die Delegierung für die verschiedenen SharePoint Server-Dienstanwendungen zu
testen, die in den Szenarien in diesem Dokument behandelt werden, müssen Sie eine
Testdatenquelle konfigurieren, auf die die Dienste zugreifen können. Zum Abschluss
dieses Szenarios konfigurieren Sie die Testdatenbank „Test“ und die Testtabelle „Sales“
für die spätere Verwendung.
1. Erstellen Sie in SQL Server Management Studio die neue Datenbank „Test“ mit den
Standardeinstellungen.
2. Erstellen Sie in der Datenbank „Test“ eine neue Tabelle mit dem folgenden Schema:
Spaltenname
Datentyp
NULL-Werte zulassen
Region
nvarchar(10)
Nein
Jahr
nvarchar(4)
Nein
Betrag
money
Nein
RowId
int
Nein
3. Speichern Sie die Tabelle unter dem Namen „Sales“.
4. Füllen Sie die Tabelle in Management Studio mit den Testdaten. Die Daten selbst
spielen keine Rolle und wirken sich nicht auf die Funktion späterer Szenarien aus.
Es werden nur wenige Datenzeilen benötigt. In der Beispielumgebung wurde die
Tabelle mit den folgenden Daten aufgefüllt:
92
Kerberos-Authentifizierung für SQL OLTP (SharePoint Server 2010)
93
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Kerberos-Authentifizierung für SQL
Server Analysis Services (SharePoint
Server 2010)
Veröffentlichung: 02.12.10
In diesem Szenario führen Sie die folgenden Aufgaben aus:

Konfigurieren der Analysis Services-Instanzen im Servercluster mit SQL Server 2008
R2 für die Verwendung von Kerberos-Authentifizierung

Sicherstellen, dass der Client sich mithilfe von Kerberos-Authentifizierung beim
Cluster authentifizieren kann
Das Aktivieren der Kerberos-Authentifizierung für SQL Server Analysis Services ist
ähnlich wie bei SQL Server.
Hinweis:
Bei einer Installation unter Windows Server 2008 muss ggf. der folgende Hotfix für die
Kerberos-Authentifizierung installiert werden:
Kerberos-Authentifizierung misslingt bei Verwenden des AES-Algorithmus auf einem
Computer mit Windows Server 2008 oder Windows Vista mit dem Fehlercode
0X80090302 oder 0x8009030f (http://support.microsoft.com/kb/969083/de-de)
Checkliste für die Konfiguration
Konfigurationsbereich
Beschreibung
Konfigurieren von Active
Directory
Dienstprinzipalnamen (Service Principal Names,
SPNs) für die Analysis Services-Instanz erstellen
SQL-Kerberos-Konfiguration Verbindung mit der Analysis Services-Instanz in
überprüfen
Excel 2010 herstellen
94
Kerberos-Authentifizierung für SQL Server Analysis Services (SharePoint Server
2010)
Schrittweise Konfigurationsanweisungen
Konfigurieren von Active Directory
Damit die Kerberos-Authentifizierung für Clients von SQL Server Analysis Services
verwendet werden kann, müssen Sie einen Dienstprinzipalnamen (SPN) für das
Dienstkonto registrieren, mit dem SQL Server ausgeführt wird. Der Dienstprinzipalname
für eine standardmäßige Analysis Services-Instanz hat das folgende Format:
MSOLAPSvc.3/<FQDN>
Wenn Sie eine benannte Instanz von Analysis Services verwenden, denken Sie daran,
dass Sie nach dem Doppelpunkt keinen Port angeben können. Wenn Sie dies tun, wird
er als Teil des Host- oder Domänennamens interpretiert. Sie müssen stattdessen den
tatsächlichen Namen der Instanz verwenden, damit alle Funktionen ordnungsgemäß
arbeiten.
MSOLAPSvc.3/<FQDN>:Instanzname
Weitere Informationen zum Registrieren von Dienstprinzipalnamen für SQL Server 2008
finden Sie unter http://support.microsoft.com/kb/917409/de-de.
Bei diesem Szenario wird von einer standardmäßigen Analysis Services-Instanz
ausgegangen. Wir konfigurieren den Dienstprinzipalnamen für Analysis Services auf dem
Analysis Services-Dienstkonto (vmlab\svcSQLAS) mit dem folgenden SetSPN-Befehl:
SetSPN -S MSOLAPSvc.3/MySQLCluster.vmlab.local vmlab\svcSQLAS
Benannte SQL Server-Instanzen
Wenn Sie anstelle der Standardinstanz benannte SQL Server-Instanzen verwenden,
müssen Sie Dienstprinzipalnamen speziell für die SQL Server-Instanz und für den SQL
Server-Browser-Dienst registrieren. Weitere Informationen zum Konfigurieren der
Kerberos-Authentifizierung für benannte Instanzen finden Sie unter:

Registrieren eines Dienstprinzipalnamens

Ein SPN für den SQL Server-Browser-Dienst ist erforderlich, wenn Sie eine
Verbindung zu einer benannten Instanz von SQL Server Analysis Services oder SQL
Server herstellen
95
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Überprüfen der SQL Server-Kerberos-Konfiguration
Nachdem Sie den Dienstprinzipalnamen konfiguriert haben, überprüfen Sie die
Kerberos-Verbindung zum Cluster mithilfe von Excel 2010.
1. Öffnen Sie Excel 2010 auf dem Clientcomputer mithilfe eines Domänenkontos, das
Zugriff auf mindestens eine Datenbank in der Analysis Services-Instanz hat. Öffnen
Sie außerdem eine Datenverbindung zur Analysis Services-Instanz, indem Sie auf die
Registerkarte Daten, dann auf Aus anderen Quellen und anschließend auf Von
Analysis Services klicken.
2. Geben Sie im Datenverbindungs-Assistent im Feld Servername den Befehl
MySQLCluster ein, und klicken Sie auf Weiter. Wenn die Kerberos-Authentifizierung
funktioniert, sehen Sie jetzt alle Datenbanken, die Sie entsprechend Ihrer
Berechtigungen bereits sehen dürfen.
96
Kerberos-Authentifizierung für SQL Server Analysis Services (SharePoint Server
2010)
Hinweis:
Wenn Sie die AdventureWorks 2008 R2-Beispieldatenbanken verwenden möchten,
laden Sie sie von der Website Microsoft SQL Server-Community-Projekte und -Beispiele
herunter, und befolgen Sie die Installationsanweisungen.
3. Öffnen Sie die Ereignisanzeige auf dem Datenbankserver (vmsql2k8r2-01). Im
Sicherheitsprotokoll sollten Sie jetzt einen Eintrag für die erfolgreiche Überwachung
sehen, ähnlich dem Eintrag in den Überprüfungsschritten für Szenario 2, KerberosAuthentifizierung für SQL OLTP (SharePoint Server 2010).
97
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
98
Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010)
Identitätsdelegierung für SQL Server
Reporting Services (SharePoint Server
2010)
Veröffentlichung: 02.12.10
In diesem Szenario konfigurieren Sie zwei Server mit SQL Server Reporting Services
(SSRS) mit Lastenausgleich in einer horizontal skalierten Konfiguration, die im
integrierten SharePoint-Modus ausgeführt wird. Die Server sind so konfiguriert, dass sie
Kerberos-Authentifizierung akzeptieren und delegieren die Authentifizierung an einen
Back-End-Servercluster mit SQL Server.
Die SharePoint Server-Farm und die Reporting Services-Datenquelle befinden sich beide
in der gleichen Domäne. Daher konfigurieren wir in diesem Szenario eingeschränkte
Kerberos-Delegierung, um die Identitätsdelegierung an die Back-End-Datenquelle zu
ermöglichen. Wenn Sie sich bei Datenquellen in anderen Domänen in der gleichen
Gesamtstruktur authentifizieren müssen, müssen Sie einfache (nicht eingeschränkte)
Kerberos-Delegierung konfigurieren. Denken Sie daran, dass Reporting Services den
Forderungen-zu-Windows-Tokens-Dienst (C2WTS) nicht nutzt und daher einfache
Delegierung verwenden kann.
Hinweis:
Bei einer Installation unter Windows Server 2008 muss ggf. der folgende Hotfix für die
Kerberos-Authentifizierung installiert werden:
Kerberos-Authentifizierung misslingt bei Verwenden des AES-Algorithmus auf einem
Computer mit Windows Server 2008 oder Windows Vista mit dem Fehlercode
0X80090302 oder 0x8009030f (http://support.microsoft.com/kb/969083/de-de)
99
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Voraussetzungen für dieses Szenario

Szenario 1: Kernkonfiguration

Szenario 2: Kerberos-Authentifizierung für SQL OLTP

(Optional) Szenario 3: Kerberos-Authentifizierung für SQL Server Analysis Services
Checkliste für die Konfiguration
Konfigurationsbereich
Beschreibung
Active Directory
Erstellen eines SSRS-Dienstkontos
Eingeschränkte Kerberos-Delegierung konfigurieren
SQL Server Reporting
Services
SSRS im Modus für horizontale Skalierung mit Lastenausgleich
installieren und konfigurieren
Web.Config ändern
Ändern von „ReportingServer.config“
Konfigurieren von
SharePoint Server
Integration von Reporting Services konfigurieren
Der Integration einen Berichtsserver hinzufügen
Festlegen von Standardwerten für Server
Überprüfen der
Konfiguration
Erstellen einer Dokumentbibliothek für Berichte
Websitesammlungseinstellungen für Reporting Services
konfigurieren
Einen Testbericht in SQL Server Business Intelligence
Development Studio erstellen und veröffentlichen
Anzeigen des Testberichts in Internet Explorer
100
Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010)
Details der Szenarioumgebung
SQL Reporting Services Service Account
Vmlab\svcSQLRS
SPN: HTTP/FarmReports
HTTP/FarmReports.vmlab.local
Kerberos delegation
App Pool Identities
SQL Database Engine Identity
Vmlab\svcSQL
SPN: MSSQLSVC/MySqlCluster.vmlab.local:1433
Kerberos delegation
SSRS
SQL
vmSQL2k8r2-01
Default Instance
Port: 1433
vmSP10WFE01
vmSQL2k8r2-RS01
vmSQL2k8r2-02
vmSP10WFE02
vmSQL2k8r2-RS02
SSRS NLB Group
DNS (A):
FarmReports.vmlab.local
SQL Cluster
DNS (A):
MySQLCluster.vmlab.local
In diesem Szenario sind die Anwendungspool-Dienstkonten für
Internetinformationsdienste (Internet Information Services, IIS) so konfiguriert, dass
eine Delegierung an den Dienst SQL Server Reporting Services (SSRS) erfolgt. Das SSRSDienstkonto ist für die Delegierung von Anmeldeinformationen an den SQL ServerDienst konfiguriert. Beachten Sie, dass SQL Server Reporting Services im integrierten
SharePoint-Modus keine Forderungsauthentifizierung zwischen Farmen verwendet und
daher Kerberos-Authentifizierung für die delegierte Authentifizierung erfordert. Weitere
Informationen finden Sie unter Anspruchsauthentifizierung und Reporting Services.
Domänenübergreifende KerberosDelegierung
Im aktuellen Beispiel befindet sich die Datenquelle, mit der SSRS eine Verbindung
herstellt, in der gleichen Domäne wie die SSRS-Server. In bestimmten Situationen ist es
vielleicht erforderlich, auf Datenquellen außerhalb der Domäne zuzugreifen, in der sich
SSRS befindet. Für die Authentifizierung mit domänenübergreifender Delegierung
müssen Sie auf dem SSRS-Dienstkonto einfache (nicht eingeschränkte) Delegierung
konfigurieren. Denken Sie daran, dass dies möglich ist, weil der SSRS-Dienst den
Forderungen-zu-Windows-Tokens-Dienst (C2WTS) nicht verwendet und daher kein
101
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Protokollübergang über eingeschränkte Kerberos-Delegierung erforderlich ist.
Beachten Sie auch, dass gesamtstrukturübergreifende Delegierung nicht möglich ist,
auch nicht bei einfacher Delegierung.
Schrittweise Konfigurationsanweisungen
Konfigurieren von DNS
Konfigurieren Sie DNS für die SSRS-NLB-Servergruppe (Network Load Balancing) in der
vorgesehenen Umgebung. In diesem Beispiel werden zwei SSRS-Server verwendet,
VMSSRS01 und VMSSRS02, für die ein Lastenausgleich durchgeführt wird und die zur
gleichen NLB-VIP (192.168.24.180/24) aufgelöst werden. Die VIP wird auf den Host
„FarmReports“ abgebildet und hat die URL http://FarmReports.
Allgemeine Informationen zur DNS-Konfiguration finden Sie unter Verwalten von DNSEinträgen.
Konfigurieren Sie einen neuen DNS-A-Eintrag für den SSRS-Host. Im aktuellen Beispiel
wird der Host „FarmReports“ so konfiguriert, dass er zu der VIP mit Lastenausgleich
aufgelöst wird.
102
Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010)
Active Directory-Verzeichnisdienst
Erstellen eines SSRS-Dienstkontos
Es wird empfohlen, SQL Server Reporting Services unter seiner eigenen
Domänenidentität auszuführen. Bei diesem Beispiel wurden die folgenden Konten
erstellt:
Dienst
Dienstidentität
SQL Server Reporting Services
vmlab\svcSQLRS
Konfigurieren von Dienstprinzipalnamen
Damit SSRS mithilfe von Kerberos-Authentifizierung eine Verbindung zu externen
Datenquellen herstellt und bei diesen Datenquellen eine Authentifizierung durchführt,
müssen für die Dienstkonten des Berichtsserver-Webdiensts und des Berichts-Managers
und für das Dienstkonto für die externe Datenquelle Dienstprinzipalnamen konfiguriert
sein. Informationen zum Konfigurieren und Validieren der erforderlichen
Dienstprinzipalnamen für die Dienstkonten der SharePoint Server-Webanwendungen
und von SQL Server finden Sie in den Szenarien 1 und 2 (Kernkonfiguration und
Kerberos-Authentifizierung für SQL OLTP) in dieser Artikelreihe. Für die SSRS-Server
wurden die folgenden Dienstprinzipalnamen definiert:
DNS-Host
IIS-Anwendungspoolidentität Dienstprinzipalnamen
FarmReports.vmlab.local vmlab\svcSQLRS
HTTP/FarmReports
HTTP/FarmReports.vmlab.local
In diesem Beispiel wurden die folgenden Befehle ausgeführt:
SetSPN -S HTTP/FarmReports vmlab\svcSQLRS
SetSPN -S HTTP/FarmReports.vmlab.local vmlab\svcSQLRS
103
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Konfigurieren der Delegierung
Kerberos-Delegierung muss konfiguriert werden, damit SSRS die Identität des Clients an
die Back-End-Datenquelle delegiert. In diesem Beispiel fragt SSRS Daten aus einer
transaktionalen SQL Server-Datenbank unter Verwendung der Identität des Clients ab.
Deshalb ist Kerberos-Delegierung erforderlich. Die eingeschränkte Kerberos-Delegierung
ist in diesem Szenario keine Notwendigkeit (weil kein Protokollübergang erforderlich
ist), es empfiehlt sich aber im Sinne einer Best Practice, sie zu konfigurieren.
Das SSRS-Dienstkonto, unter dem die SSRS-Dienste ausgeführt werden, muss
vertrauenswürdig sein, damit die Anmeldeinformationen an die einzelnen Back-EndDienste delegiert werden. In unserem Beispiel werden die folgenden Delegierungspfade
benötigt:
Prinzipaltyp
Prinzipalname
Dienst, an den delegiert wird
User
Vmlab\svcPortal10App HTTP/FarmReports
HTTP/FarmReports.vmlab.local
User
Vmlab\svcSQLRS
MSSQLSVC/MySqlCluster.vmlab.local:1433
Optional können Sie die folgenden Delegierungspfade konfigurieren, wenn Berichte mit
Analysis Services-Datenquellen ausgeführt werden sollen:
Prinzipaltyp
Prinzipalname
Dienst, an den delegiert wird
User
Vmlab\svcSQLRS
MSOLAPSvc.3/MySqlCluster.vmlab.local
So konfigurieren Sie die eingeschränkte Delegierung
1. Öffnen Sie in Active Directory-Benutzer und -Computer die Eigenschaften des
Active Directory-Objekts.
2. Navigieren Sie zur Registerkarte Delegierung.
104
Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010)
3. Wählen Sie Benutzer bei Delegierungen angegebener Dienste vertrauen aus.
Hinweis:
Wenn Sie eine Authentifizierung bei Datenquellen innerhalb derselben Gesamtstruktur,
aber außerhalb der Domäne, in der sich der SSRS-Server befindet, durchführen müssen,
konfigurieren Sie für das SSRS-Dienstkonto einfache Delegierung statt eingeschränkter
Delegierung. Dazu wählen Sie die Option Computer bei Delegierungen aller Dienste
vertrauen. Denken Sie daran, dass eine gesamtstrukturübergreifende KerberosDelegierung nicht möglich ist.
4. Wählen Sie optional Beliebiges Authentifizierungsprotokoll verwenden aus.
Dadurch wird der Protokollübergang aktiviert.
105
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
5. Klicken Sie auf die Schaltfläche Hinzufügen, um den Dienstprinzipal auszuwählen,
an den delegiert werden kann.
6. Klicken Sie auf Benutzer und Computer.
7. Wählen Sie das Dienstkonto aus, unter dem der Dienst ausgeführt wird, an den die
Delegierung erfolgen soll. Im aktuellen Beispiel ist dies das Dienstkonto für SQL
Server Reporting Services.
106
Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010)
Hinweis:
Dem ausgewählten Dienstkonto muss ein Dienstprinzipalname zugeordnet sein. In
unserem Beispiel war der Dienstprinzipalname für dieses Konto
(HTTP/FarmReports.vmlab.local) in einem früheren Schritt in diesem Szenario
konfiguriert worden.
8. Klicken Sie auf OK. Anschließend werden Sie aufgefordert, auf der folgenden Seite
die Dienstprinzipalnamen auszuwählen, an die delegiert werden soll.
9. Wählen Sie den Dienst aus, oder wählen Sie Alles markieren aus, und klicken Sie auf OK.
Die ausgewählten Dienstprinzipalnamen sollten nun in der Liste Dienste, für die
dieses Konto delegierte Anmeldeinformationen verwenden kann angezeigt werden:
107
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
10. Wiederholen Sie diese Schritte für jeden Delegierungspfad, der weiter oben in
diesem Abschnitt angegeben wurde. Sie müssen die Delegierung vom SQL Server
Reporting Services-Dienstkonto zu einer oder mehreren Back-End-Datenquellen (in
unseren Szenarien SQL OLTP oder SQL AS) konfigurieren.
108
Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010)
Hinweis:
Wenn Sie eine Authentifizierung bei Datenquellen innerhalb derselben Gesamtstruktur,
aber außerhalb der Domäne, in der sich der SSRS-Server befindet, durchführen müssen,
konfigurieren Sie für das SSRS-Dienstkonto einfache Delegierung statt eingeschränkter
Delegierung. Dazu wählen Sie die Option Computer bei Delegierungen aller Dienste
vertrauen. Denken Sie daran, dass eine gesamtstrukturübergreifende KerberosDelegierung nicht möglich ist.
Überprüfen des MSSQLSVC-Dienstprinzipalnamens für das
Dienstkonto, unter dem der Dienst auf dem Server mit SQL Server
ausgeführt wird (Szenario 2)
Stellen Sie sicher, dass der Dienstprinzipalname für das Analysis Services-Dienstkonto
(vmlab\svcSQL) vorhanden ist, indem Sie den folgenden SetSPN-Befehl verwenden:
SetSPN -L vmlab\svcSQL
Folgendes sollte angezeigt werden:
MSOLAPSvc.3/MySqlCluster
MSSQLSVC/MySqlCluster.vmlab.local:1433
Überprüfen des MSOLAPSvc.3-Dienstprinzipalnamens für das
Dienstkonto, unter dem der SSAS-Dienst auf dem Server mit SQL
Server Analysis Services ausgeführt wird (Szenario 3)
Stellen Sie sicher, dass der Dienstprinzipalname für das SQL Server-Dienstkonto
(vmlab\svcSQLAS) vorhanden ist, indem Sie den folgenden SetSPN-Befehl verwenden:
SetSPN -L vmlab\svcSQLAS
Folgendes sollte angezeigt werden:
MSOLAPSvc.3/MySqlCluster
MSOLAPSvc.3/MySqlCluster.vmlab.local
109
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
SQL Server Reporting Services
Installieren von SharePoint Server 2010
Für SQL Server Reporting Services muss SharePoint Server 2010 auf jedem SSRS-Server
installiert sein, damit SSRS im integrierten SharePoint-Modus ausgeführt wird.
Installieren Sie SharePoint Server 2010 auf jedem Berichtsserver, und fügen Sie jeden
Server der SharePoint Server-Farm hinzu.
Installieren und konfigurieren von SSRS im Modus für horizontale
Skalierung mit Lastenausgleich
Eine detaillierte Schritt-für-Schritt-Anleitung zum Konfigurieren von SQL Server
Reporting Services im Modus für horizontale Skalierung mit Lastenausgleich würde den
Rahmen dieses Dokuments sprengen. Ausführliche Anweisungen zum Installieren von
SSRS finden Sie unter Bereitstellungstopologien für Reporting Services im integrierten
SharePoint-Modus. Führen Sie nach der Installation von SSRS die unten beschriebenen
zusätzlichen Schritte zur Konfiguration von SSRS aus, um die Installation abzuschließen.
Ändern von „Web.config“ auf den SSRS-Servern
Die folgenden Änderungen müssen an den web.config-Dateien auf jedem SSRS-Server
vorgenommen werden. Die Datei web.config befindet sich im Verzeichnis Programme,
in dem SSRS installiert ist:
Hinzufügen des Elements <machineKey>
Für SSRS-Server in einer Konfiguration mit Lastenausgleich muss auf allen Servern der
gleiche Computerschlüssel festgelegt sein. Fügen Sie das Computerschlüsselelement als
untergeordnetes Element des Elements <system.web> in der Datei web.config hinzu. Im
Folgenden ein Beispiel für einen Computerschlüssel:
<machineKey
validationKey="54AEBD3BC893726E9B84D30F4970CB58F2086C2DAEE2F8D34A65A0632F4676DDB
BC38779F2972C6596931E 13BD07A772BD4B9395BE38A43E461079E45D594E53"
decryptionKey="" validation="SHA1" decryption="AES" />
110
Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010)
Wichtig:
VERWENDEN SIE DEN BEISPIELCOMPUTERSCHLÜSSEL NICHT IN IHRER UMGEBUNG.
Generieren Sie für Ihre Umgebung eigene Schlüsselwerte.
Ändern von „ReportingServer.config“
Die folgenden Änderungen müssen an den ReportingServer.config-Dateien auf jedem
SSRS-Server vorgenommen werden. Die Datei ReportingServer.config befindet sich im
Verzeichnis Programme, in dem SSRS installiert ist:
Aktivieren der Kerberos-Authentifizierung
Zum Aktivieren der Kerberos-Authentifizierung legen Sie den Authentifizierungstyp auf
„RSWindowsNegotiate“ fest. Ändern Sie das Element <AuthenticationTypes/>
und fügen Sie <RSWindowsNegotiate/> hinzu
<AuthenticationTypes>
<RSWindowsNegotiate/> </AuthenticationTypes>
Ändern des URL-Stamms
Fügen Sie die URL für den Berichtsserver dem Tag <UrlRoot> im Tag <service> von
ReportingServer.Config hinzu.
<UrlRoot>http://FarmReports/reportserver</UrlRoot>
Konfigurieren von „BackConnectionHostNames“ in der Registrierung
Damit SQL Server Reporting Services sich gegenseitig auf einem einzigen Computer
authentifizieren können, muss NTLM-Loopbackerkennung adressiert werden. Es
empfiehlt sich, anstatt die Loopbackerkennung zu deaktivieren, den
„BackConnectionHostNames“-Wert in der Registrierung jedes SSRS-Servers zu
konfigurieren. Weitere Informationen zu BackConnectionHostNames finden Sie unter
111
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Wenn Sie SQL Server 2008 Reporting Services verwenden, wird die folgende
Fehlermeldung angezeigt:.
Im aktuellen Beispiel konfigurieren wir die folgenden Werte für BackConnectionHostNames:

FarmReports

FarmReports.vmlab.local
Nachdem Sie die Werte für BackConnectionHostNames festgelegt haben, starten Sie
den SSRS-Server neu.
Konfigurieren von SharePoint Server
In der Zentraladministration finden Sie die Farmkonfigurationsoptionen für SSRS.
Beachten Sie, dass Sie in SharePoint Server 2010 keine separate SSRSKomponenteninstallation für SSRS-Administration und Webparts installieren müssen.
Die SSRS-Farmoptionen finden Sie in der Zentraladministration im Abschnitt Allgemeine
Anwendungseinstellungen unter Reporting Services.
112
Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010)
Erteilen von Berechtigungen zur Inhaltsdatenbank der
Webanwendung für das Reporting Services-Dienstkonto
Ein erforderlicher Schritt beim Konfigurieren von SQL Server Reporting Services im
integrierten SharePoint-Modus besteht darin, dem Reporting Services-Dienstkonto
Zugriff auf die Inhaltsdatenbanken für Webanwendungen zu gewähren, die Berichte
hosten. In unserem Beispiel erteilten wir dem Reporting Services-Konto mithilfe von
Windows PowerShell Zugriff auf die Inhaltsdatenbank der Webanwendung „Portal“.
Führen Sie den folgenden Befehl an der SharePoint 2010-Verwaltungsshell aus:
$w = Get-SPWebApplication -Identity http://portal
$w.GrantAccessToProcessIdentity("vmlab\svcSQLRS")
Konfigurieren der Integration von Reporting Services
Geben Sie im Dialogfeld Reporting Services-Integration die Lastenausgleichs-URL des
Berichtsservers an. Wählen Sie außerdem die Option Feature in allen vorhandenen
Sammlungen aktivieren, damit das Reporting Services-Feature automatisch in den
Websitesammlungen aktiviert wird.
113
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Hinzufügen der einzelnen Berichtsserver zur Integration
Geben Sie im Dialogfeld Berichtsserver zur Integration hinzufügen jeden Knoten der
Reporting Services-NLB-Gruppe an. Sie müssen dieses Dialogfeld für jeden Server
öffnen, den Sie der Integration hinzufügen. Es besteht keine Möglichkeit, mehrere
Server in einem einzigen Arbeitsschritt hinzuzufügen.
Festlegen von Standardwerten für Server
Die SSRS-Integration sollte jetzt konfiguriert sein. Zum Überprüfen der Konfiguration
öffnen Sie die Seite Serverstandardwerte. Für das Beispiel im vorliegenden Dokument
sind keine Änderungen erforderlich.
114
Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010)
Überprüfen der Konfiguration
Erstellen einer Dokumentbibliothek für Berichte
Erstellen Sie eine Dokumentbibliothek zum Hosten von SSRS-Berichten in der
SharePoint-Website. Im aktuellen Beispiel wird davon ausgegangen, dass eine
Dokumentbibliothek namens „Reports“ unter http://portal/reports vorhanden ist.
115
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Validieren der Websitesammlungseinstellungen für Reporting Services
Navigieren Sie im Browser zu den Websiteeinstellungen der Website, von der die
Dokumentbibliothek für SSRS-Berichte gehostet wird. In den Websiteeinstellungen
sollte eine neue Kategorie namens Reporting Services angezeigt werden.
Wenn Sie das Feature Reporting Services nicht in der Liste der
Websitesammlungsfeatures sehen, müssen Sie es u. U. über die Zentraladministration
aktivieren. Weitere Informationen finden Sie unter Vorgehensweise: Aktivieren der
Berichtsserverfunktion in der SharePoint-Zentraladministration
(http://go.microsoft.com/fwlink/?LinkId=196878&clcid=0x407).
Klicken Sie auf den Link für die Websiteeinstellungen für Reporting Services, um sich zu
vergewissern, dass Sie auf die Einstellungen zugreifen können.
116
Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010)
Hinweis:
Für die vorliegende Demo sind keine Änderungen an den Reporting ServicesWebsiteeinstellungen erforderlich.
Erstellen und Veröffentlichen eines Testberichts in SQL Server
Business Intelligence Development Studio
Nachdem Sie SSRS und die Integration in SharePoint Server konfiguriert haben, erstellen
Sie einen Testbericht, um sicherzustellen, dass die Identitätsdelegierung
ordnungsgemäß funktioniert.
1. Öffnen Sie SQL Server Business Intelligence Development Studio. Klicken Sie auf
Datei, zeigen Sie auf Neu, und klicken Sie dann auf Projekt.
117
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
2. Wählen Sie Berichtsserverprojekt-Assistent aus, und geben Sie einen
Projektnamen ein.
3. Konfigurieren Sie als Nächstes eine neue Datenquelle. Wählen Sie den Typ
Microsoft SQL Server aus, und klicken Sie auf die Schaltfläche Bearbeiten.
118
Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010)
4. Geben Sie unter Verbindungseigenschaften die Informationen zum Herstellen der
Verbindung zum Demo-SQL Server-Cluster ein, der in Szenario 2 erstellt wurde.
119
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
5. Öffnen Sie den Abfrage-Designer, klicken Sie mit der rechten Maustaste in das
Abfragefenster, und wählen Sie Tabelle hinzufügen aus.
120
Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010)
6. Wählen Sie die Tabelle Sales aus (in Szenario 2 erstellt) und dann Alle Spalten.
121
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
7. Wählen Sie einen tabellarischen Berichtstyp aus.
122
Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010)
8. Im aktuellen Beispiel wird nach Region gruppiert. Diesen Schritt können Sie
überspringen, wenn Sie möchten.
9. Sobald das Projekt erstellt ist, öffnen Sie über das Menü Projekt die
Projekteigenschaften.
123
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
10. Konfigurieren Sie die folgenden Projekteigenschaften:
a) TargetDatasetFolder – Auf den zuvor erstellten Testberichtordner festlegen
b) TargetDatasetFolder – Auf den zuvor erstellten Testberichtordner festlegen
c) TargetReportFolder – Auf den zuvor erstellten Testberichtsordner festlegen
d) TargetReportPartFolder – Auf den zuvor erstellten Testberichtsordner
festlegen
e) TargetServerURL – Auf die URL der Webanwendung festlegen, die den
Bericht hostet
124
Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010)
11. Stellen Sie den Bericht in der SharePoint-Bibliothek bereit. Wählen Sie im Menü
Erstellen den Befehl <Projektname> bereitstellen aus.
12. Wenn das Projekt erfolgreich bereitgestellt wurde, wird im Fenster Ausgabe eine
entsprechende Meldung angezeigt.
125
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Anzeigen des Testberichts in Internet Explorer
Öffnen Sie die Berichtsdokumentbibliothek, die Sie in den vorherigen Schritten dieses
Szenarios erstellt haben, im Browser. Sie sollten die Berichtsdatei sehen, die Sie soeben
veröffentlicht haben. Wird der Bericht nicht angezeigt, müssen Sie das Reporting ServicesFeature u. U. in der Websitesammlung aktivieren. Weitere Informationen finden Sie unter
Vorgehensweise: Aktivieren der Berichtsserverfunktion in der SharePointZentraladministration (http://go.microsoft.com/fwlink/?LinkID=196878&clcid=0x407).
Klicken Sie auf den Bericht. Der Bericht wird im Browser gerendert.
126
Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010)
Zur weiteren Überprüfung der Delegierung und der Datenverbindung ändern Sie die
Quelldaten in SQL Server Management Studio und aktualisieren die Datenverbindung
für den SSRS-Bericht im Browser. Die Datenänderungen sollten im Bericht
wiedergegeben werden.
SSL-Konfiguration für Reporting Services
In manchen Umgebungen ist es möglicherweise erforderlich, die Kommunikation
zwischen den Front-End-Webservern und den SSRS-Servern mit SSL zu schützen. Eine
detaillierte Schritt-für-Schritt-Anleitung zum Konfigurieren von für Reporting Services
übersteigt den Rahmen dieses Artikels. Deshalb sei hier nur eine Zusammenfassung der
erforderlichen Schritte gegeben:
1. Konfigurieren Sie jeden Berichtsserver für SSL. Siehe Konfigurieren eines
Berichtsservers für SSL-Verbindungen (Secure Sockets Layer)
(http://go.microsoft.com/fwlink/?LinkId=196881&clcid=0x407).
2. Aktualisieren Sie die Datei ReportingServer.config. Ändern Sie den <UrlRoot> in die
neue https://-URL.
3. Starten Sie den SQL Server Reporting Services-Dienst neu.
127
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
4. Ändern Sie in der Zentraladministration die Einstellungen für die Reporting
Services-Integration, und ändern Sie die URL für den Berichtsserver-Webdienst in
die neue https://-URL.
5. Starten Sie Internetinformationsdienste (IIS) in jeder Instanz von SharePoint Server
neu, in der der Webanwendungsdienst ausgeführt wird.
Sie müssen keinen der Dienstprinzipalnamen ändern, die Sie beim Konfigurieren von
Reporting Services mit HTTP in den vorherigen Schritten erstellt haben. Der
Dienstprinzipalname für einen HTTP-Dienst über SSL bleibt HTTP/<Dienst>. Dies sehen
Sie, wenn Sie NetMon verwenden, um den Front-End-Webserver anzuzeigen, der mit
dem Reporting Services-Server kommuniziert.
Beachten Sie die hervorgehobene Ticket-Granting Service-Anforderung und den
angeforderten Sname. Auf den Berichtsserverdienst wurde über „https:// “ zugegriffen,
und für den SName im angeforderten Ticket gilt wie erwartet weiter „HTTP/“. Um
sicherzustellen, dass das Web-Front-End tatsächlich SSL für die Kommunikation mit dem
Berichtsserver verwendet hat, wurde weiterer Datenverkehr erfasst und analysiert:
128
Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010)
Beachten Sie, dass alle Anforderung vom Web-Front-End an den Berichtsserver über SSL
geschützt sind. Dies bestätigt, dass SSL für die Kommunikation zwischen den Web-FrontEnds und dem Berichtsserver verwendet wurde.
129
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Identitätsdelegierung für Excel Services
(SharePoint Server 2010)
Veröffentlichung: 02.12.10
In diesem Szenario fügen Sie die Excel Services-Dienstanwendung der SharePoint ServerUmgebung hinzu. Anschließend konfigurieren Sie die eingeschränkte KerberosDelegierung, damit der Dienst Daten auf einem Arbeitsblatt in einer SQL ServerDatenquelle aktualisiert.
Hinweis:
Bei einer Installation unter Windows Server 2008 muss ggf. der folgende Hotfix für die
Kerberos-Authentifizierung installiert werden:
Kerberos-Authentifizierung misslingt bei Verwenden des AES-Algorithmus auf einem
Computer mit Windows Server 2008 oder Windows Vista mit dem Fehlercode
0X80090302 oder 0x8009030f (http://support.microsoft.com/kb/969083/de-de)
Voraussetzungen für dieses Szenario
Bevor Sie dieses Szenario angehen, müssen die folgenden Aufgaben erledigt sein:

Szenario 1: Kernkonfiguration

Szenario 2: Kerberos-Authentifizierung für SQL OLTP
Checkliste für die Konfiguration
Konfigurationsbereich
Beschreibung
Active DirectoryKonfiguration
Erstellen eines Excel Services-Dienstkontos
Konfigurieren eines Dienstprinzipalnamens für das Excel
Services-Dienstkonto
130
Identitätsdelegierung für Excel Services (SharePoint Server 2010)
Konfigurationsbereich
Beschreibung
Konfigurieren der eingeschränkten Kerberos-Delegierung für
Server mit Excel Services
Konfigurieren der eingeschränkten Kerberos-Delegierung für das
Excel Services-Dienstkonto
SharePoint ServerKonfiguration
Starten des Forderungen an den Windows-Tokendiensts (C2WTS)
auf Servern mit Excel Services
Starten der Excel Services-Dienstinstanz auf dem Server mit Excel
Services
Erstellen der Excel Services-Dienstanwendung und des Proxys
Konfigurieren des vertrauenswürdige Dateispeicherorts und von
Authentifizierungseinstellungen für Excel Services
Überprüfen der
Erstellen einer Dokumentbibliothek zum Hosten einer
eingeschränkten Excel Testarbeitsmappe
Services-Delegierung
Erstellen der SQL-Testdatenbank und -tabelle
Erstellen einer Excel-Testarbeitsmappe mit SQL-Datenverbindung
Veröffentlichen der Arbeitsmappe in SharePoint Server und
Aktualisieren der Datenverbindung
131
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Details der Szenarioumgebung
Pfade der eingeschränkten Kerberos-Delegierung
Kerberos delegation
Excel
Excel ServicesIdentity
Vmlab\svcExcel
SPN: SP/Excel
SQL
c2WTS
SQL Database Engine Identity
Vmlab\svcSQL
SPN: MSSQLSVC/MySqlCluster.vmlab.local:1433
vmSQL2k8r2-01
Default Instance
Port: 1433
App Server
VMSP10APP01
vmSQL2k8r2-02
SQL Cluster
DNS (A):
MySQLCluster.vmlab.local
In diesem Szenario wird das SharePoint Server Excel Services-Dienstkonto für die
eingeschränkte Kerberos-Delegierung für den SQL Server-Dienst konfiguriert.
132
Identitätsdelegierung für Excel Services (SharePoint Server 2010)
Hinweis:
In diesem Szenario wird der Forderungen an den Windows-Tokendienst für die
Verwendung eines dedizierten Dienstkontos konfiguriert. Wenn Sie den Forderungen an
den Windows-Tokendienst (C2WTS) weiter das Konto Lokales System verwenden
lassen, müssen Sie die eingeschränkte Delegierung für das Computerkonto des
Computers konfigurieren, auf dem der Forderungen an den Windows-Tokendienst
(C2WTS) und Excel Services ausgeführt werden.
Logische SharePoint Server-Authentifizierung
STS
Kerberos
c2WTS
Claims
Kerberos
SharePoint
Excel
Services
SharePoint
WFE
DataSource
Die Authentifizierung in diesem Szenario beginnt mit der Clientauthentifizierung über
Kerberos auf dem Web-Front-End-Server. SharePoint Server 2010 wandelt das
Windows-Authentifizierungstoken mithilfe des lokalen Sicherheitstokendiensts in ein
Forderungstoken um. Die Excel-Dienstanwendung akzeptiert das Forderungstoken und
wandelt es mithilfe des zum Windows Identity Framework (WIF) gehörenden
Forderungen an den Windows-Tokendiensts (C2WTS) in ein Windows-Token (Kerberos)
um. Die Excel-Dienstanwendung verwendet anschließend das Kerberos-Ticket zur
Authentifizierung bei der Datenquelle im Back-End.
133
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Schrittweise Konfigurationsanweisungen
Active Directory-Konfiguration
Erstellen eines Excel Services-Dienstkontos
Empfohlen wird, die Excel Services-Anwendung unter ihrer eigenen Domänenidentität
auszuführen. Zum Konfigurieren der Excel Services-Anwendung müssen Active DirectoryKonten erstellt werden. Bei diesem Beispiel wurden die folgenden Konten erstellt:
SharePoint Server-Dienst
IIS-Anwendungspoolidentität
Excel Services
vmlab\svcExcel
Konfigurieren eines Dienstprinzipalnamens für das Excel ServicesDienstkonto
Die eingeschränkte Kerberos-Delegierung muss konfiguriert werden, wenn Excel
Services die Identität des Clients an die Datenquelle im Back-End zurück delegieren soll.
In diesem Beispiel fragt Excel Services Daten aus einer SQL-Transaktionsdatenbank ab,
weshalb die Kerberos-Delegierung erforderlich ist.
Die Kerberos-Delegierung wird zumeist im Active Directory-Snap-In Benutzer und
Computer konfiguriert. Hierfür muss dem zu konfigurierenden Active Directory-Objekt
ein Dienstprinzipalname zugeordnet werden. Andernfalls wird die Registerkarte
Delegierung des Objekts in dessen Eigenschaftendialogfeld nicht angezeigt. Wenngleich
Excel Services für den Betrieb keinen Dienstprinzipalnamen benötigt, wird für diesen
Zweck einer konfiguriert.
Führen Sie an der Eingabeaufforderung folgenden Befehl aus:
SETSPN -S SP/ExcelServices
134
Identitätsdelegierung für Excel Services (SharePoint Server 2010)
Hinweis:
Der Dienstprinzipalname ist kein gültiger Dienstprinzipalname und wird dem angegebenen
Dienstkonto zugeordnet, um die Delegierungsoptionen im Active Directory-Snap-In
Benutzer und Computer zu veranschaulichen. Es gibt andere unterstützte Möglichkeiten
zur Angabe der Delegierungseinstellungen (insbesondere das Attribut msDSAllowedToDelegateTo), die in diesem Artikel jedoch nicht behandelt werden.
Konfigurieren der eingeschränkten Kerberos-Delegierung für Excel
Services
Damit Excel Services die Identität des Clients delegieren kann, muss die eingeschränkte
Kerberos-Delegierung konfiguriert werden. Ferner müssen Sie die eingeschränkte
Delegierung mit Protokollübergang für die Umwandlung von Forderungstoken in
Windows-Token über den Forderungen an den Windows-Tokendienst von Windows
Identity Framework (WIF) konfigurieren.
Servern, auf denen Excel Services ausgeführt wird, muss für die Delegierung von
Anmeldeinformationen an alle Back-End-Dienste vertraut werden, bei denen sich Excel
authentifiziert. Darüber hinaus muss das Excel Services-Dienstkonto ebenfalls für das
Zulassen der Delegierung an dieselben Back-End-Dienste konfiguriert werden.
In unserem Beispiel werden die folgenden Delegierungspfade definiert:
Prinzipaltyp
Prinzipalname
Erforderliche Stellvertretungen
User
svcExcel
MSSQLSVC/MySqlCluster.vmlab.local:1433
*Benutzer
svcC2WTS
MSSQLSVC/MySqlCluster.vmlab.local:1433
**Computer
VMSP10APP01
MSSQLSVC/MySqlCluster.vmlab.local:1433
* Wird in diesem Szenario später konfiguriert
** Nur erforderlich, wenn der Forderungen an den Windows-Tokendienst (C2WTS) als
Lokales System ausgeführt wird
135
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
So konfigurieren Sie die eingeschränkte Delegierung
1. Öffnen Sie die Eigenschaften des Active Directory-Objekts in Active DirectoryBenutzer und -Computer.
2. Navigieren Sie zur Registerkarte Delegierung.
3. Wählen Sie Benutzer bei Delegierungen angegebener Dienste vertrauen aus.
4. Wählen Sie anschließend Beliebiges Authentifizierungsprotokoll verwenden aus. Diese
Einstellung ermöglicht den Protokollübergang und ist für das Dienstkonto erforderlich,
damit der Forderungen an den Windows-Tokendienst (C2WTS) genutzt werden kann.
136
Identitätsdelegierung für Excel Services (SharePoint Server 2010)
5. Klicken Sie auf die Schaltfläche Hinzufügen, um den Dienstprinzipal auszuwählen, an
den die Delegierung erfolgen darf.
6. Wählen Sie Benutzer und Computer aus.
7. Wählen Sie das Dienstkonto aus, mit dem der Dienst ausgeführt wird, an den die
Delegierung erfolgen soll. In diesem Beispiel ist dies das Dienstkonto für den SQL
Server-Dienst.
137
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Hinweis:
Dem ausgewählten Dienstkonto muss ein Dienstprinzipalname zugeordnet sein. In
unserem Beispiel wurde der Dienstprinzipalname für dieses Konto in einem vorherigen
Szenario konfiguriert.
8. Klicken Sie auf OK. Im folgenden Fenster werden Sie aufgefordert, die
Dienstprinzipalnamen auszuwählen, an die die Delegierung erfolgen soll.
9. Wählen Sie die Dienste für den SQL Server-Cluster aus, und klicken Sie auf OK.
10. Die ausgewählten Dienstprinzipalnamen sollten nun in der Liste Dienste, für die
dieses Konto delegierte Anmeldeinformationen verwenden kann enthalten sein.
138
Identitätsdelegierung für Excel Services (SharePoint Server 2010)
11. Wiederholen Sie diese Schritte für alle Delegierungspfade, die am Anfang dieses
Abschnitts definiert wurden.
Überprüfen Sie den MSSQLSVC-Dienstprinzipalnamen für das
Dienstkonto, mit dem der Dienst auf dem Server mit SQL Server
ausgeführt wird (in Szenario 2 erfolgt).
Überprüfen Sie mit dem folgenden SetSPN-Befehl, ob der Dienstprinzipalname für das
SQL Server-Dienstkonto (vmlab\svcSQL) vorhanden ist:
SetSPN -L vmlab\svcSQL
Folgendes sollte angezeigt werden:
MSOLAPSvc.3/MySqlCluster
MSSQLSVC/MySqlCluster.vmlab.local:1433
139
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
SharePoint Server-Konfiguration
Konfigurieren und Starten des Forderungen an den WindowsTokendiensts (C2WTS) auf Servern mit Excel Services
Der Forderungen an den Windows-Tokendienst (C2WTS) ist eine Komponente von
Windows Identity Foundation (WIF) und für das Umwandeln von
Benutzerforderungstoken in Windows-Token zuständig. Dies erfolgt in Excel Services,
wenn die Dienste Anmeldeinformationen an ein Back-End-System delegieren müssen,
das mit der integrierten Windows-Authentifizierung arbeitet. WIF wird mit SharePoint
Server 2010 bereitgestellt, der Forderungen an den Windows-Tokendienst (C2WTS)
kann in der Zentraladministration gestartet werden.
Auf jedem Excel Services-Anwendungsserver muss der Forderungen an den WindowsTokendienst (C2WTS) lokal ausgeführt werden. Dieser Dienst öffnet keine Ports, und
Remoteaufrufer können nicht auf ihn zugreifen. Darüber hinaus muss die
Dienstkonfigurationsdatei des Forderungen an den Windows-Tokendiensts (C2WTS) so
konfiguriert werden, dass der lokalen aufrufenden Clientidentität vertraut wird.
Empfohlen wird, den Forderungen an den Windows-Tokendienst (C2WTS) mit einem
dedizierten Dienstkonto und nicht als Lokales System (Standardkonfiguration)
auszuführen. Das Dienstkonto des Forderungen an den Windows-Tokendiensts (C2WTS)
erfordert spezielle lokale Berechtigungen für jeden Server, auf dem der Dienst
ausgeführt wird. Die entsprechenden Berechtigungen müssen jedes Mal konfiguriert
werden, wenn der Dienst auf einem Server gestartet wird. Optimal ist die Konfiguration
der Berechtigungen des Dienstkontos auf dem lokalen Server, bevor der Forderungen an
den Windows-Tokendienst (C2WTS) gestartet wird. Falls dies jedoch im Anschluss
erfolgt, können Sie den Forderungen an den Windows-Tokendienst (C2WTS) über die
Windows-Dienstverwaltungskonsole (services.msc) neu starten.
So starten Sie den Forderungen an den Windows-Tokendienst (C2WTS)
1. Erstellen Sie in Active Directory ein Dienstkonto, unter dem der Dienst ausgeführt
wird. In diesem Beispiel wird vmlab\svcC2WTS erstellt.
2. Ordnen Sie dem Dienstkonto einen beliebigen Dienstprinzipalnamen zu, um die
Delegierungsoptionen für dieses Konto in Active Directory-Benutzer und -Computer
anzuzeigen. Dieser Name darf ein beliebiges Format haben, da beim Forderungen an
den Windows-Tokendienst (C2WTS) keine Kerberos-Authentifizierung erfolgt. Es
wird empfohlen, keinen HTTP-Dienstprinzipalnamen zu wählen, damit in Ihrer
Umgebung keine doppelten Namen generiert werden. Im Beispiel wurde SP/C2WTS
bei vmlab\svcC2WTS mit folgendem Befehl registriert:
SetSPN -S SP/C2WTS vmlab\svcC2WTS
140
Identitätsdelegierung für Excel Services (SharePoint Server 2010)
3. Konfigurieren Sie die eingeschränkte Kerberos-Delegierung für das Dienstkonto des
Forderungen an den Windows-Tokendiensts (C2WTS). In diesem Szenario werden
Anmeldeinformationen an den SQL-Dienst delegiert, der mit dem
Dienstprinzipalnamen MSSQLSVC/MySqlCluster.vmlab.local:1433 ausgeführt wird.
4. Konfigurieren Sie anschließend die vom Forderungen an den Windows-Tokendienst
(C2WTS) benötigten lokalen Serverberechtigungen, die auf allen Servern
konfiguriert werden müssen, auf denen der Forderungen an den WindowsTokendienst (C2WTS) ausgeführt wird. In unserem Beispiel ist dies VMSP10APP01.
Melden Sie sich an diesem Server an, und erteilen Sie dem Forderungen an den
Windows-Tokendienst (C2WTS) die folgenden Berechtigungen:
a) Fügen Sie das Dienstkonto der lokalen Gruppe Administratoren hinzu.
b) Erteilen Sie in der lokalen Sicherheitsrichtlinie (secpol.msc) unter Zuweisen
von Benutzerrechten dem Dienstkonto die folgenden Berechtigungen:
141
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
i.
Einsetzen als Teil des Betriebssystems
ii.
Annehmen der Clientidentität nach Authentifizierung
iii.
Anmelden als Dienst
5. Öffnen Sie die Zentraladministration.
6. Registrieren Sie im Abschnitt Sicherheit unter Verwaltete Dienstkonten
konfigurieren das Dienstkonto des Forderungen an den Windows-Tokendiensts
(C2WTS) als verwaltetes Konto.
7. Wählen Sie unter Dienste den Eintrag Dienste auf dem Server verwalten aus.
8. Wählen Sie im Auswahlfeld Server rechts oben den/die Server aus, auf dem/denen
Visio Services ausgeführt wird. In diesem Beispiel heißt der Server VMSP10APP01.
9. Navigieren Sie zu Forderungen an den Windows-Tokendienst, und starten Sie den Dienst.
142
Identitätsdelegierung für Excel Services (SharePoint Server 2010)
10. Wechseln Sie im Abschnitt Sicherheit zu Dienstkonten verwalten. Ändern Sie die
Identität des Forderungen an den Windows-Tokendiensts (C2WTS) in das neue
verwaltete Konto.
Hinweis:
Wenn der Forderungen an den Windows-Tokendienst (C2WTS) bereits ausgeführt wurde,
bevor Sie das dedizierte Dienstkonto konfiguriert haben, oder Sie die Berechtigungen des
Dienstkontos nach Start des Forderungen an den Windows-Tokendiensts (C2WTS)
ändern müssen, starten Sie den Dienst über die Konsole Dienste neu.
Falls darüber hinaus Probleme mit dem Forderungen an den Windows-Tokendienst
(C2WTS) nach dem Neustart des Diensts vorliegen sollten, müssen Sie ggf. die IISAnwendungspools zurücksetzen, die mit dem Forderungen an den WindowsTokendienst (C2WTS) kommunizieren.
Hinzufügen von Startabhängigkeiten zum Forderungen an den
Windows-Tokendienst (C2WTS) im WIF
Beim Forderungen an den Windows-Tokendienst (C2WTS) gibt es ein bekanntes
Problem. Der Dienst wird bei einem Systemneustart nicht automatisch erfolgreich
gestartet. Dieses Problem kann behoben werden, indem für die Kryptografiedienste
eine Abhängigkeit konfiguriert wird:
143
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Falls darüber hinaus Probleme mit dem Forderungen an den Windows-Tokendienst
(C2WTS) nach dem Neustart des Diensts vorliegen sollten, müssen Sie ggf. die IISAnwendungspools zurücksetzen, die mit dem Forderungen an den WindowsTokendienst (C2WTS) kommunizieren.
1. Öffnen Sie das Eingabeaufforderungsfenster.
2. Geben Sie Folgendes ein: sc config "c2wts" depend= CryptSvc
3. Wechseln Sie in der Konsole Dienste zum Claims to Windows Token Service.
4. Öffnen Sie die Eigenschaften des Diensts.
144
Identitätsdelegierung für Excel Services (SharePoint Server 2010)
5. Überprüfen Sie die RegisterkarteAbhängigkeiten. Prüfen Sie, ob
Kryptografiedienste aufgeführt ist.
6. Klicken Sie auf OK.
Erteilen von Berechtigungen für die Inhaltsdatenbank der
Webanwendung für das Excel Services-Dienstkonto
Ein erforderlicher Schritt bei der Konfiguration von SharePoint Server 2010-OfficeWebanwendungen besteht darin, dem Dienstkonto der Webanwendung den Zugriff auf
die Inhaltsdatenbanken einer bestimmten Webanwendung zu ermöglichen. In diesem
Beispiel wird dem Excel Services-Dienstkonto Zugriff auf die Inhaltsdatenbank der
Webanwendung „portal“ über Windows PowerShell erteilt.
Führen Sie den folgenden Befehl an der SharePoint 2010-Verwaltungsshell aus:
$w = Get-SPWebApplication -Identity http://portal
$w.GrantAccessToProcessIdentity("vmlab\svcExcel")
Starten der Excel Services-Dienstinstanz auf dem Server mit Excel
Services
Starten Sie vor dem Erstellen einer Excel Services-Dienstanwendung den Excel ServicesDienst auf den vorgesehenen Farmservern.
145
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
1. Öffnen Sie die Zentraladministration.
2. Wählen Sie unter Dienste den Eintrag Dienste auf dem Server verwalten aus.
3. Wählen Sie im Auswahlfeld Server rechts oben den/die Server aus, auf dem/denen
Visio Services ausgeführt wird. In diesem Beispiel heißt der Server VMSP10APP01.
4. Starten Sie die Dienste für Excel-Berechnungen.
Erstellen der Excel Services-Dienstanwendung und des Proxys
Konfigurieren Sie anschließend eine neue Excel Services-Dienstanwendung und einen
Anwendungsproxy, um Webanwendungen die Nutzung von Excel Services zu
ermöglichen:
1. Öffnen Sie die Zentraladministration.
2. Klicken Sie unter Anwendungsverwaltung auf Dienstanwendungen verwalten.
146
Identitätsdelegierung für Excel Services (SharePoint Server 2010)
3. Klicken Sie auf Neu und dann auf Excel Services-Anwendung.
4. Konfigurieren Sie die neue Dienstanwendung. Wählen Sie das ordnungsgemäße
Dienstkonto aus (erstellen Sie ein neues verwaltetes Konto, falls das Excel ServicesKonto nicht in der Liste enthalten ist).
147
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Konfigurieren des vertrauenswürdige Dateispeicherorts und von
Authentifizierungseinstellungen für Excel Services
Nach Erstellen der Excel Services-Anwendung müssen Sie die Eigenschaften der neuen
Dienstanwendung konfigurieren, um einen vertrauenswürdigen Hostspeicherort und
Authentifizierungseinstellungen anzugeben.
1. Öffnen Sie die Zentraladministration.
2. Klicken Sie unter Anwendungsverwaltung auf Dienstanwendungen verwalten.
148
Identitätsdelegierung für Excel Services (SharePoint Server 2010)
3. Klicken Sie auf den Link der neuen Dienstanwendung (in diesem Beispiel Excel
Services).
4. Klicken Sie auf dem Bildschirm zur Verwaltung von Excel Services auf
Vertrauenswürdige Datenquellen-Speicherorte.
5. Fügen Sie einen neuen vertrauenswürdigen Dateispeicherort hinzu.
149
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
6. Geben Sie den Speicherort für Ihre Testbibliothek an.
Hinweis:
In diesem Beispiel wird der URL der Stammwebanwendung und allen
untergeordneten URLs vertraut. In einer Produktionsumgebung müssen Sie die
Vertrauensbeziehung ggf. stärker einschränken.
150
Identitätsdelegierung für Excel Services (SharePoint Server 2010)
7. Wählen Sie unter Externe Daten zulassen die Option Vertrauenswürdige
Datenverbindungsbibliotheken und eingebettete Verbindungen aus.
Hinweis:
In diesem Beispiel wird für die Verbindung mit SQL Server eine eingebettete Verbindung
verwendet. In Ihrer Umgebung müssen Sie ggf. eine gesonderte Verbindungsdatei erstellt
und diese in einer vertrauenswürdigen Datenverbindungsbibliothek speichern. In diesem
Fall können Sie ggf. nur vertrauenswürdige Datenverbindungsbibliotheken auswählen.
8. Ändern Sie die Gültigkeitsdauer des externen Datencaches. Zu Testzwecken
empfiehlt es sich, die Gültigkeitsdauer des externen Datencaches zu ändern, um
sicherzustellen, dass Datenaktualisierungen aus der Datenquelle und nicht aus dem
Cache stammen. Ändern Sie unter Externe Daten die folgenden Einstellungen:
Automatische Aktualisierung (in bestimmten Abständen/beim Öffnen) = 0
Manuelle Aktualisierung = 0
Hinweis:
In einer Produktionsumgebung sollten Sie eine Cacheeinstellung größer 0 wählen.
Das Festlegen des Caches auf 0 ist nur für Testzwecke vorgesehen.
151
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Überprüfen der eingeschränkten Excel ServicesDelegierung
Erstellen einer Dokumentbibliothek zum Hosten der Testarbeitsmappe
Öffnen Sie eine Website im vertrauenswürdigen Pfad, der im vorherigen Schritt
konfiguriert wurde. Erstellen Sie eine neue Dokumentbibliothek zum Hosten einer ExcelTestarbeitsmappe.
Erstellen einer Excel-Testarbeitsmappe mit SQL-Datenverbindung
Erstellen Sie als Nächstes eine Excel-Arbeitsmappe mit einer Datenverbindung mit der
neuen Testdatenbank:
1. Öffnen Sie Excel.
2. Klicken Sie auf der Registerkarte Daten auf Aus anderen Quellen und dann auf Von
SQL Server.
3. Stellen Sie eine Verbindung mit der SQL Server-Testdatenquelle her.
152
Identitätsdelegierung für Excel Services (SharePoint Server 2010)
4. Wählen Sie die Testdatenbank und -tabelle aus (Sales in unserem Beispiel).
5. Klicken Sie auf Weiter. Klicken Sie auf die Schaltfläche
Authentifizierungseinstellungen. Vergewissern Sie sich, dass WindowsAuthentifizierung angegeben ist.
153
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
6. Klicken Sie auf Fertig stellen.
7. Wählen Sie PivotTable-Bericht aus.
8. Konfigurieren Sie die PivotTable. Stellen Sie sicher, dass Daten aus der SQL ServerQuelle zurückgegeben werden.
154
Identitätsdelegierung für Excel Services (SharePoint Server 2010)
Veröffentlichen der Arbeitsmappe in SharePoint Server und
Aktualisieren der Datenverbindung
Der letzte Schritt bei der Überprüfung der Excel Services-Anwendung ist das Veröffentlichen
der Arbeitsmappe und Testen der Aktualisierung der eingebetteten SQL Server-Verbindung.
1. Klicken Sie auf die Registerkarte Datei.
2. Klicken Sie auf Speichern und senden, dann auf In SharePoint speichern und
schließlich auf Speicherort suchen.
155
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
3. Geben Sie den Speicherort der in den vorherigen Schritten erstellten
vertrauenswürdigen Bibliothek ein.
4. Vergewissern Sie sich, dass Mit Excel im Browser öffnen ausgewählt ist.
An dieser Stelle wird ein neues Browserfenster mit Ihrer Testarbeitsmappe
angezeigt. Aktualisieren Sie anschließend die Datenverbindung, indem Sie zuerst auf
Daten und dann auf Alle Verbindungen aktualisieren klicken.
156
Identitätsdelegierung für Excel Services (SharePoint Server 2010)
Wenn die Datenverbindung aktualisiert wird, haben Sie die Kerberos-Delegierung für
Excel Services erfolgreich konfiguriert. Ändern Sie zum Testen der Verbindung die
Quelldaten in SQL Management Studio, und aktualisieren Sie anschließend die
Verbindung. Die geänderten Daten sollten in der Arbeitsmappe angezeigt werden.
Wenn keine Änderungen erkennbar sind und bei der Aktualisierung keine Fehler
angezeigt werden, sehen Sie höchstwahrscheinlich zwischengespeicherte Daten. Excel
Services speichert standardmäßig Daten aus externen Datenquellen fünf Minuten
zwischen. Sie können diese Cacheeinstellung ändern. Weitere Informationen finden Sie
unter Konfigurieren des vertrauenswürdige Dateispeicherorts und von
Authentifizierungseinstellungen für Excel Services in diesem Artikel.
157
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Identitätsdelegierung für PowerPivot für
SharePoint 2010 (SharePoint Server
2010)
Veröffentlichung: 02.12.10
Die in Umgebung und Farmtopologie beschriebene Farmtopologie benötigt nicht die
Kerberos-Authentifizierung, damit PowerPivot für Microsoft SharePoint 2010
funktioniert. Der PowerPivot-Systemdienst unterstützt Ansprüche bzw. Forderungen
und verwendet den Forderungen an den Windows-Tokendienst zum erneuten Erstellen
der Windows-Identität des Clients mithilfe des Forderungstokens des Clients, um eine
Verknüpfung mit dem Analysis Service Vertipaq-Modul herzustellen, das auf dem
Anwendungsserver ausgeführt wird.
Wenn eine PowerPivot-Arbeitsmappe in SharePoint Server hochgeladen wird, enthält
sie bereits die von der Arbeitsmappe genutzten PowerPivot-Daten. Wenn der Benutzer
die PowerPivot-Arbeitsmappe in Excel Web Access öffnet und mit den Slicern
interagiert, lädt der PowerPivot-Systemdienst die Daten der Arbeitsmappe direkt in das
dazugehörige Analysis Services-Modul. Auf die in die Arbeitsmappe eingebettete
Datenverbindung erfolgt kein Zugriff.
Wenn die Ausführung eines Datenaktualisierungsauftrags für eine PowerPivotArbeitsmappe beginnt, führt der PowerPivot-Systemdienst eine Windows-Anmeldung
mithilfe der im Secure Store Service von SharePoint Server gespeicherten
Anmeldeinformationen durch. Da die Windows-Identität auf dem Anwendungsserver
158
Identitätsdelegierung für PowerPivot für SharePoint 2010 (SharePoint Server 2010)
erstellt wird, ist die Verbindung vom PowerPivot Analysis Services Vertipaq-Modul (auf
demselben Computer, VMSP10APP01) mit MySQLCluster der erste NTLM-Hop.
Hinweis:
Bei einer Installation unter Windows Server 2008 muss ggf. der folgende Hotfix für die
Kerberos-Authentifizierung installiert werden:
Kerberos-Authentifizierung misslingt bei Verwenden des AES-Algorithmus auf einem
Computer mit Windows Server 2008 oder Windows Vista mit dem Fehlercode
0X80090302 oder 0x8009030f (http://support.microsoft.com/kb/969083/de-de)
Szenarien, in denen die KerberosAuthentifizierung erforderlich ist
Wie Sie sehen, ist in den meisten gängigen Szenarien mit PowerPivot keine KerberosAuthentifizierung erforderlich. Es gibt jedoch einige ungewöhnliche Ausnahmefälle, bei
den die Kerberos-Authentifizierung benötigt wird. Wenn beispielsweise Ihre
PowerPivot-Arbeitsmappe eine Datenverbindung mit einer SQL Server-Instanz enthält,
die mit einer weiteren SQL Server-Instanz auf einem anderen Computer verknüpft ist,
müssen Sie die Kerberos-Authentifizierung mit Identitätsdelegierung konfigurieren,
damit die Datenaktualisierung funktioniert. Wenn z. B. MySQLCluster mit einer anderen
SQL Server-Remoteinstanz verknüpft ist, dann ist die Verknüpfung von MySQLCluster
zum verknüpften Remoteserver der zweite Hop. In diesem Fall kann NTLM nicht mehr
verwendet werden. Sie müssen die Kerberos-Delegierung konfigurieren, damit die
Datenaktualisierung erfolgen kann.
159
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Nachfolgend werden die wichtigsten Schritte zum Konfigurieren der
Identitätsdelegierung für PowerPivot beschrieben, die jedoch über den Umfang der
Szenarien in diesem Artikel hinausgehen:
1. Ändern des Dienstkontos des Forderungen an den Windows-Tokendiensts (C2WTS)
in ein Domänenkonto (e.g. VMLAB\svcC2WTS). Das Konfigurieren des Forderungen
an den Windows-Tokendiensts (C2WTS) wird in den anderen Szenarien in diesem
Artikel ausführlich beschrieben:

Konfigurieren und Starten des Forderungen an den Windows-Tokendiensts
(C2WTS) auf Servern mit Excel Services

Konfigurieren und Starten des Forderungen an den Windows-Tokendiensts
(C2WTS) auf Servern mit Visio Services

Konfigurieren und Starten des Forderungen an den Windows-Tokendiensts
(C2WTS) auf Servern mit PerformancePoint Services
2. Konfigurieren der Delegierung des Kontos VMLAB\svcSQL an den
Dienstprinzipalnamen der verknüpften SQL Server-Instanz Konfigurationscheckliste
Konfigurationsbereich
Beschreibung
PowerPivot-Installation
Installieren von SQL Server PowerPivot für SharePoint auf
dem Anwendungsserver
160
Identitätsdelegierung für PowerPivot für SharePoint 2010 (SharePoint Server 2010)
Voraussetzungen für dieses Szenario
Streng genommen, sind die folgenden Kerberos-Authentifizierungsszenarien für
PowerPivot für SharePoint nicht erforderlich. Sie beschleunigen jedoch nach
erfolgreichem Abschluss den PowerPivot für SharePoint-Installationsprozess, da die
Komponenten selbst Voraussetzung für PowerPivot für SharePoint darstellen.

Szenario 1: Kernkonfiguration

Szenario 2: Kerberos-Authentifizierung für SQL OLTP

(Optional) Szenario 3: Kerberos-Authentifizierung für SQL Server Analysis Services

Szenario 5: Identitätsdelegierung für Excel Services
Konfigurationsanweisungen
Installieren Sie PowerPivot für SharePoint auf dem Anwendungsserver (vmsp10app01).
Detaillierte Anweisungen finden Sie unter Vorgehensweise: Installieren von PowerPivot
für SharePoint in einer dreistufigen SharePoint-Farm in der MSDN-Onlinebibliothek.
Wenn Sie bereits die anderen Szenarien in diesem Artikel durchlaufen haben, können
Sie die Abschnitte im MSDN-Artikel überspringen, die bereits erledigt wurden.
Wichtig:
Der Anwendungspool für die SQL Server PowerPivot-Dienstanwendung muss mit dem
Domänenkonto des SharePoint Server-Farmadministrators ausgeführt werden. In keinem
anderen Benutzerkontext kann der PowerPivot-Systemdienst die Anmeldeinformationen
des unbeaufsichtigten Kontos aus dem Secure Store Service abrufen.
161
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Identitätsdelegierung für Visio Services
(SharePoint Server 2010)
Veröffentlichung: 02.12.10
In diesem Szenario fügen Sie eine Visio Services-Dienstanwendung der SharePoint
Server-Umgebung hinzu. Anschließend konfigurieren Sie die eingeschränkte KerberosDelegierung, damit der Dienst Daten aus einer SQL Server-Datenquelle in einer VisioWebzeichnung aktualisiert.
Hinweis:
Bei einer Installation unter Windows Server 2008 muss ggf. der folgende Hotfix für die
Kerberos-Authentifizierung installiert werden:
Kerberos-Authentifizierung misslingt bei Verwenden des AES-Algorithmus auf einem
Computer mit Windows Server 2008 oder Windows Vista mit dem Fehlercode
0X80090302 oder 0x8009030f (http://support.microsoft.com/kb/969083/de-de)
Voraussetzungen für dieses Szenario
Bevor Sie dieses Szenario angehen, müssen die folgenden Aufgaben erledigt sein:

Szenario 1: Kernkonfiguration

Szenario 2: Kerberos-Authentifizierung für SQL OLTP
Checkliste für die Konfiguration
Konfigurationsbereich
Beschreibung
Active DirectoryKonfiguration
Erstellen eines Visio Services-Dienstkontos
Konfigurieren eines Dienstprinzipalnamens für das Visio
Services-Dienstkonto
162
Identitätsdelegierung für Visio Services (SharePoint Server 2010)
Konfigurationsbereich
Beschreibung
Konfigurieren der eingeschränkten Kerberos-Delegierung für
Server mit Visio Services
Konfigurieren der eingeschränkten Kerberos-Delegierung für
das Visio Services-Dienstkonto
SharePoint ServerKonfiguration
Starten des Forderungen an den Windows-Tokendiensts
(C2WTS) auf Servern mit Visio Services
Erteilen von Berechtigungen für die Inhaltsdatenbank der
Webanwendung für das Visio Services-Dienstkonto
Starten der Visio Services-Dienstinstanz auf dem Server mit
Visio Services
Erstellen der Visio Services-Dienstanwendung und des Proxys
Überprüfen der
eingeschränkten Visio
Services-Delegierung
Konfigurieren der Cacheeinstellungen für Visio Services
Erstellen einer Dokumentbibliothek zum Hosten eines VisioTestdiagramms
Erstellen einer Visio-Testwebzeichnung mit Shapes, die mit
SQL Server-Daten verbunden sind
Veröffentlichen der Visio-Zeichnung in SharePoint Server und
Aktualisieren der Datenverbindung
163
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Details der Szenarioumgebung
Pfade der eingeschränkten Kerberos-Delegierung
Kerberos delegation
Visio
Visio Services Identity
Vmlab\svcVisio
SPN: SP/Visio
SQL Database Engine Identity
Vmlab\svcSQL
SPN: MSSQLSVC/MySqlCluster.vmlab.local:1433
SQL
c2WTS
vmSQL2k8r2-01
Default Instance
Port: 1433
App Server
VMSP10APP01
vmSQL2k8r2-02
SQL Cluster
DNS (A):
MySQLCluster.vmlab.local
In diesem Szenario werden die Visio Services-Anwendungsserver und -Dienstkonten von
SharePoint Server für die eingeschränkte Kerberos-Delegierung an den SQL ServerDienst konfiguriert.
Logische SharePoint Server-Authentifizierung
STS
Kerberos
c2WTS
Claims
Kerberos
SharePoint
Visio
Services
SharePoint
WFE
DataSource
Die Authentifizierung in diesem Szenario beginnt mit der Clientauthentifizierung über
Kerberos auf dem Web-Front-End-Server. SharePoint Server 2010 wandelt das
Windows-Authentifizierungstoken mithilfe des lokalen Sicherheitstokendiensts in ein
Forderungstoken um. Die Visio-Dienstanwendung akzeptiert das Forderungstoken und
wandelt es mithilfe des zum Windows Identity Framework (WIF) gehörenden
Forderungen an den Windows-Tokendiensts in ein Windows-Token (Kerberos) um. Die
164
Identitätsdelegierung für Visio Services (SharePoint Server 2010)
Visio-Dienstanwendung verwendet anschließend das Kerberos-Ticket zur
Authentifizierung bei der Datenquelle im Back-End.
Schrittweise Konfigurationsanweisungen
Active Directory-Konfiguration
Erstellen eines Visio Services-Dienstkontos
Empfohlen wird, die Visio Services-Anwendung unter ihrer eigenen Domänenidentität
auszuführen. Zum Konfigurieren der Visio Services-Anwendung müssen Active DirectoryKonten erstellt werden. Bei diesem Beispiel wurden die folgenden Konten erstellt:
SharePoint Server-Dienst
IIS-Anwendungspoolidentität
Visio Services
vmlab\svcVisio
Konfigurieren eines Dienstprinzipalnamens für das Visio ServicesDienstkonto
Die eingeschränkte Kerberos-Delegierung muss konfiguriert werden, wenn Visio Services
die Windows-Identität des Clients an die Datenquelle im Back-End zurück delegieren
soll. In diesem Beispiel fragt Visio Services Daten aus einer SQL ServerTransaktionsdatenbank ab, weshalb die Kerberos-Delegierung erforderlich ist.
Die Kerberos-Delegierung wird zumeist im Active Directory-Snap-In Benutzer und
Computer konfiguriert. Hierfür muss dem zu konfigurierenden Active Directory-Objekt
ein Dienstprinzipalname zugeordnet werden. Andernfalls wird die Registerkarte
Delegierung des Objekts in dessen Eigenschaftendialogfeld nicht angezeigt. Wenngleich
Excel Services für den Betrieb keinen Dienstprinzipalnamen benötigt, wird für diesen
Zweck einer konfiguriert.
Führen Sie an der Eingabeaufforderung folgenden Befehl aus:
SETSPN -S SP/VisioServices svc\VisioServices
165
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Hinweis:
Der Dienstprinzipalname ist kein gültiger Dienstprinzipalname und wird dem angegebenen
Dienstkonto zugeordnet, um die Delegierungsoptionen im Active Directory-Snap-In
Benutzer und Computer zu veranschaulichen. Es gibt andere unterstützte Möglichkeiten
zur Angabe der Delegierungseinstellungen (insbesondere das Attribut msDSAllowedToDelegateTo), die in diesem Artikel jedoch nicht behandelt werden.
Konfigurieren der eingeschränkten Kerberos-Delegierung für Visio
Services
Damit Visio Services die Identität des Clients delegieren kann, muss die eingeschränkte
Kerberos-Delegierung konfiguriert werden. Ferner müssen Sie die eingeschränkte
Delegierung mit Protokollübergang für die Umwandlung von Forderungstoken in
Windows-Token über den Forderungen an den Windows-Tokendienst (C2WTS) von
Windows Identity Framework (WIF) konfigurieren.
Servern, auf denen Visio Services ausgeführt wird, muss für die Delegierung von
Anmeldeinformationen an alle Back-End-Dienste vertraut werden, bei denen sich Visio
authentifiziert. Darüber hinaus muss das Visio Services-Dienstkonto ebenfalls für das
Zulassen der Delegierung an dieselben Back-End-Dienste konfiguriert werden.
In unserem Beispiel werden die folgenden Delegierungspfade definiert:
Prinzipaltyp
Prinzipalname
Erforderliche Stellvertretungen
User
Vmlab\svcVisio
MSSQLSVC/MySqlCluster.vmlab.local:1433
*Benutzer
Vmlab\svcC2WTS
MSSQLSVC/MySqlCluster.vmlab.local:1433
**Computer
Vmlab\vmsp10app01
MSSQLSVC/MySqlCluster.vmlab.local:1433
* Wird in diesem Szenario später konfiguriert
** Optional. Die eingeschränkte Delegierung für das Computerkonto ist nur erforderlich,
wenn der Forderungen an den Windows-Tokendienst (C2WTS) als Lokales System
ausgeführt wird.
166
Identitätsdelegierung für Visio Services (SharePoint Server 2010)
So konfigurieren Sie die eingeschränkte Delegierung
1. Öffnen Sie die Eigenschaften des Active Directory-Objekts in Active DirectoryBenutzer und -Computer.
2. Navigieren Sie zur Registerkarte Delegierung.
3. Wählen Sie Benutzer bei Delegierungen angegebener Dienste vertrauen aus.
4. Wählen Sie anschließend Beliebiges Authentifizierungsprotokoll verwenden aus.
Diese Einstellung ermöglicht den Protokollübergang und ist für das VisioDienstkonto erforderlich, damit der Forderungen an den Windows-Tokendienst
(C2WTS) genutzt werden kann.
167
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
5. Klicken Sie auf die Schaltfläche Hinzufügen, um den Dienstprinzipal auszuwählen,
an den die Delegierung erfolgen darf.
6. Wählen Sie Benutzer und Computer aus.
7. Wählen Sie das Dienstkonto aus, mit dem der Dienst ausgeführt wird, an den die
Delegierung erfolgen soll. In diesem Beispiel ist dies das Dienstkonto für den SQL
Server-Dienst.
168
Identitätsdelegierung für Visio Services (SharePoint Server 2010)
Hinweis:
Dem ausgewählten Dienstkonto muss ein Dienstprinzipalname zugeordnet sein. In
unserem Beispiel wurde der Dienstprinzipalname für dieses Konto in einem vorherigen
Szenario konfiguriert.
8. Klicken Sie auf OK. Sie werden aufgefordert, die Dienstprinzipalnamen auszuwählen,
an die die Delegierung erfolgen soll.
9. Wählen Sie die Dienste für den SQL Server-Cluster aus, und klicken Sie auf OK.
10. Die ausgewählten Dienstprinzipalnamen sollten nun in der Liste Dienste, für die
dieses Konto delegierte Anmeldeinformationen verwenden kann enthalten sein.
169
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
11. Wiederholen Sie diese Schritte für alle Delegierungspfade (Computer und Benutzer),
die am Anfang dieses Abschnitts definiert wurden.
Überprüfen Sie den MSSQLSVC-Dienstprinzipalnamen für das
Dienstkonto, mit dem der Dienst auf dem Server mit SQL Server
ausgeführt wird (in Szenario 2 erfolgt).
Überprüfen Sie mit dem folgenden SetSPN-Befehl, ob der Dienstprinzipalname für das
SQL Server-Dienstkonto (vmlab\svcSQL) vorhanden ist:
SetSPN -L vmlab\svcSQL
Folgendes sollte angezeigt werden:
MSOLAPSvc.3/MySqlCluster
MSSQLSVC/MySqlCluster.vmlab.local:1433
170
Identitätsdelegierung für Visio Services (SharePoint Server 2010)
SharePoint Server-Konfiguration
Konfigurieren und Starten des Forderungen an den WindowsTokendiensts (C2WTS) auf Servern mit Visio Services
Der Forderungen an den Windows-Tokendienst ist eine Komponente von Windows Identity
Foundation (WIF) und für das Umwandeln von Benutzerforderungstoken in Windows-Token
zuständig. Dies erfolgt im Visio-Grafikdienst, wenn der Dienst Anmeldeinformationen an ein
Back-End-System delegieren muss, das mit der Windows-Authentifizierung arbeitet. WIF
wird mit SharePoint Server 2010 bereitgestellt, der Forderungen an den WindowsTokendienst (C2WTS) kann in der Zentraladministration gestartet werden.
Auf jedem Anwendungsserver mit dem Visio-Grafikdienst muss der Forderungen an den
Windows-Tokendienst (C2WTS) lokal ausgeführt werden. Dieser Dienst öffnet keine
Ports, und Remoteaufrufer können nicht auf ihn zugreifen. Darüber hinaus muss die
Dienstkonfigurationsdatei des Forderungen an den Windows-Tokendiensts (C2WTS) so
konfiguriert werden, dass der lokalen aufrufenden Clientidentität vertraut wird.
Empfohlen wird, den Forderungen an den Windows-Tokendienst (C2WTS) mit einem
dedizierten Dienstkonto und nicht als Lokales System (Standardkonfiguration)
auszuführen. Das Dienstkonto des Forderungen an den Windows-Tokendiensts (C2WTS)
erfordert spezielle lokale Berechtigungen für jeden Server, auf dem der Dienst
ausgeführt wird. Die entsprechenden Berechtigungen müssen jedes Mal konfiguriert
werden, wenn der Dienst auf einem Server gestartet wird. Optimal ist die Konfiguration
der Berechtigungen des Dienstkontos auf dem lokalen Server, bevor der Forderungen an
den Windows-Tokendienst (C2WTS) gestartet wird. Falls dies jedoch im Anschluss
erfolgt, können Sie den Forderungen an den Windows-Tokendienst (C2WTS)über die
Windows-Dienstverwaltungskonsole (services.msc) neu starten.
So starten Sie den Forderungen an den Windows-Tokendienst (C2WTS)
1. Erstellen Sie in Active Directory ein Dienstkonto, unter dem der Dienst ausgeführt
wird. In diesem Beispiel wird vmlab\svcC2WTS erstellt.
2. Ordnen Sie dem Dienstkonto einen beliebigen Dienstprinzipalnamen zu, um die
Delegierungsoptionen für dieses Konto in Active Directory-Benutzer und -Computer
anzuzeigen. Dieser Name darf ein beliebiges Format haben, da beim Forderungen an
den Windows-Tokendienst (C2WTS) keine Kerberos-Authentifizierung erfolgt. Es
wird empfohlen, keinen HTTP-Dienstprinzipalnamen zu wählen, damit in Ihrer
Umgebung keine doppelten Namen generiert werden. Im Beispiel wurde SP/C2WTS
bei vmlab\svcC2WTS mit folgendem Befehl registriert:
SetSPN -S SP/C2WTS vmlab\svcC2WTS
171
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
3. Konfigurieren Sie die eingeschränkte Kerberos-Delegierung für das Dienstkonto des
Forderungen an den Windows-Tokendiensts (C2WTS). In diesem Szenario werden
Anmeldeinformationen an den SQL Server-Dienst delegiert, der mit dem
Dienstprinzipalnamen MSSQLSVC/MySqlCluster.vmlab.local:1433 ausgeführt wird.
4. Konfigurieren Sie anschließend die vom Forderungen an den Windows-Tokendienst
(C2WTS) benötigten lokalen Serverberechtigungen, die auf allen Servern
konfiguriert werden müssen, auf denen der Forderungen an den WindowsTokendienst (C2WTS) ausgeführt wird. In unserem Beispiel ist dies VMSP10APP01.
Melden Sie sich an diesem Server an, und erteilen Sie dem Forderungen an den
Windows-Tokendienst (C2WTS) die folgenden Berechtigungen:
a) Fügen Sie das Dienstkonto der lokalen Gruppe Administratoren hinzu.
b) Erteilen Sie in der lokalen Sicherheitsrichtlinie (secpol.msc) unter Zuweisen
von Benutzerrechten dem Dienstkonto die folgenden Berechtigungen:
172
Identitätsdelegierung für Visio Services (SharePoint Server 2010)
i.
Einsetzen als Teil des Betriebssystems
ii.
Annehmen der Clientidentität nach Authentifizierung
iii.
Anmelden als Dienst
5. Öffnen Sie die Zentraladministration.
6. Registrieren Sie im Abschnitt Sicherheit unter Verwaltete Dienstkonten
konfigurieren das Dienstkonto des Forderungen an den Windows-Tokendiensts
(C2WTS) als verwaltetes Konto.
7. Wählen Sie unter Dienste den Eintrag Dienste auf dem Server verwalten aus.
8. Wählen Sie im Auswahlfeld Server rechts oben den/die Server aus, auf dem/denen
der Visio-Grafikdienst ausgeführt wird. In diesem Beispiel heißt der Server
VMSP10APP01.
9. Navigieren Sie zu Forderungen an den Windows-Tokendienst, und starten Sie den Dienst.
173
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
10. Wechseln Sie im Abschnitt Sicherheit zu Dienstkonten verwalten. Ändern Sie die
Identität des Forderungen an den Windows-Tokendiensts (C2WTS) in das neue
verwaltete Konto.
Hinweis:
Wenn der Forderungen an den Windows-Tokendienst bereits ausgeführt wurde, bevor
Sie das dedizierte Dienstkonto konfiguriert haben, oder Sie die Berechtigungen des
Dienstkontos nach Start des Forderungen an den Windows-Tokendiensts (C2WTS)
ändern müssen, starten Sie den Dienst über die Konsole Dienste neu.
Falls darüber hinaus Probleme mit dem Forderungen an den Windows-Tokendienst
(C2WTS) nach dem Neustart des Diensts vorliegen sollten, müssen Sie ggf. die IISAnwendungspools zurücksetzen, die mit dem Forderungen an den WindowsTokendienst (C2WTS) kommunizieren.
174
Identitätsdelegierung für Visio Services (SharePoint Server 2010)
Hinzufügen von Startabhängigkeiten zum Forderungen an den
Windows-Tokendienst (C2WTS) im WIF
Beim Forderungen an den Windows-Tokendienst (C2WTS) gibt es ein bekanntes
Problem. Der Dienst wird bei einem Systemneustart nicht automatisch erfolgreich
gestartet. Dieses Problem kann behoben werden, indem für die Kryptografiedienste
eine Abhängigkeit konfiguriert wird:
1. Öffnen Sie ein Eingabeaufforderungsfenster.
2. Geben Sie Folgendes ein: sc config "c2wts" depend= CryptSvc
3. Wechseln Sie in der Konsole Dienste zum Claims to Windows Token Service.
4. Öffnen Sie die Eigenschaften des Diensts.
175
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
5. Überprüfen Sie die RegisterkarteAbhängigkeiten. Prüfen Sie, ob
Kryptografiedienste aufgeführt ist.
6. Klicken Sie auf OK.
Erteilen von Berechtigungen für die Inhaltsdatenbank der
Webanwendung für das Visio Services-Dienstkonto
Ein erforderlicher Schritt bei der Konfiguration von SharePoint Server 2010-OfficeWebanwendungen besteht darin, dem Dienstkonto der Webanwendung den Zugriff auf
die Inhaltsdatenbanken einer bestimmten Webanwendung zu ermöglichen. In diesem
Beispiel wird dem Visio-Grafikdienstkonto Zugriff auf die Inhaltsdatenbank der
Webanwendung portal über Windows PowerShell erteilt.
Führen Sie den folgenden Befehl an der SharePoint 2010-Verwaltungsshell aus:
$w = Get-SPWebApplication -Identity http://portal
$w.GrantAccessToProcessIdentity("vmlab\svcVisio")
Starten der Visio-Grafikdienstinstanz auf dem Server mit Visio
Starten Sie vor dem Erstellen einer Visio Services-Dienstanwendung den Visio ServicesDienst auf den vorgesehenen Farmservern.
1. Öffnen Sie die Zentraladministration.
176
Identitätsdelegierung für Visio Services (SharePoint Server 2010)
2. Wählen Sie unter Dienste den Eintrag Dienste auf dem Server verwalten aus.
3. Wählen Sie im Auswahlfeld Server rechts oben den/die Server aus, auf dem/denen
Visio Services ausgeführt wird. In diesem Beispiel heißt der Server VMSP10APP01.
4. Starten Sie Visio-Grafikdienst.
Erstellen der Visio-Grafikdienstanwendung und des Proxys
Konfigurieren Sie anschließend eine neue Visio Services-Dienstanwendung und einen
Anwendungsproxy, um Webanwendungen die Nutzung von Visio Services zu
ermöglichen (falls noch nicht vorhanden):
1. Öffnen Sie die Zentraladministration.
2. Klicken Sie unter Anwendungsverwaltung auf Dienstanwendungen verwalten.
177
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
3. Klicken Sie auf Neu und anschließend auf Visio-Grafikdienst.
4. Konfigurieren Sie die neue Dienstanwendung. Wählen Sie das ordnungsgemäße
Dienstkonto aus (erstellen Sie ein neues verwaltetes Konto, falls das VisioDienstkonto nicht in der Liste enthalten ist).
178
Identitätsdelegierung für Visio Services (SharePoint Server 2010)
Überprüfen der eingeschränkten Delegierung für den VisioGrafikdienst
Konfigurieren der Cacheeinstellungen für Visio Services
Basierend auf den Cacheeinstellungen des Diensts speichert der Visio-Grafikdienst die
für Webclients gerenderten Webzeichnungen einige Minuten lang zwischen. Zum
Testen der Delegierung wird der Dienst so konfiguriert, dass Zeichnungen nicht
zwischengespeichert werden, um die Datenaktualisierung in einer Visio-Webzeichnung
einfacher überprüfen zu können.
179
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Hinweis:
Das Deaktivieren des Rendercaches wird für Produktionsumgebungen nicht empfohlen.
Denken Sie daran, den Cache zu reaktivieren, nachdem Sie das Testen der Delegierung
in Visio abgeschlossen haben.
1. Öffnen Sie die Zentraladministration.
2. Klicken Sie unter Anwendungsverwaltung auf Dienstanwendungen verwalten.
3. Wählen Sie die im vorherigen Schritt erstellte Visio-Grafikdienstanwendung aus.
4. Wählen Sie Globale Einstellungen aus.
5. Legen Sie die Einstellung Minimales Cachealter auf 0 fest (kein Cache).
180
Identitätsdelegierung für Visio Services (SharePoint Server 2010)
Hinweis:
Das Festlegen des minimalen Cachealters auf 0 ist nur für Testzwecke gedacht und sollte
in einer Produktionsumgebung vermieden werden.
Erstellen einer Dokumentbibliothek zum Hosten einer VisioTestwebzeichnung
Navigieren Sie zur Portalanwendung (http://portal). Erstellen Sie eine neue
Dokumentbibliothek zum Hosten einer Visio-Testwebzeichnung.
Erstellen einer Visio-Testwebzeichnung mit Shapes, die mit SQL
Server-Daten verbunden sind
1. Starten Sie Visio 2010.
2. Erstellen Sie unter Start im Abschnitt Allgemein ein neues Standarddiagramm.
3. Klicken Sie auf dem Menüband auf der Registerkarte Daten auf Daten mit Shapes
verknüpfen.
181
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
4. Wählen Sie im Dialogfeld zur Datenauswahl Microsoft SQL Server-Datenbank aus.
5. Geben Sie den in Szenario 2 erstellten SQL Server-Cluster an, und wählen Sie
Windows-Authentifizierung aus.
182
Identitätsdelegierung für Visio Services (SharePoint Server 2010)
6. Wählen Sie die Datenbank Test und die Tabelle Sales aus.
183
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
7. Geben Sie einen benutzerfreundlichen Namen für die Verbindung ein, und
speichern Sie sie in der im vorherigen Schritt erstellten Dokumentbibliothek.
184
Identitätsdelegierung für Visio Services (SharePoint Server 2010)
8. Wählen Sie im Dialogfeld Datenauswahl die neu erstellte Verbindung aus, und
klicken Sie dann auf Fertig stellen.
185
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Unten im Zeichnungsfenster sollte nun das externe Datenfenster mit den zuvor
erstellten Beispieldaten angezeigt werden.
9. Ziehen Sie die erste Datenzeile auf die Zeichnungsoberfläche. Dadurch wird ein
neues Shape erstellt, das mit der Datenzeile verknüpft ist. Die Testzeichnung dient
zum Testen der Delegierung und nicht zum Veranschaulichen der Erstellung einer
vollfunktionsfähigen für die Produktion bereiten Webzeichnung.
186
Identitätsdelegierung für Visio Services (SharePoint Server 2010)
Veröffentlichen der Visio-Zeichnung in SharePoint Server und
Aktualisieren der Datenverbindung
1. Veröffentlichen Sie die Zeichnung in einer SharePoint-Testdokumentbibliothek.
Klicken Sie auf der Registerkarte Datei auf Speichern und senden, In SharePoint
speichern, Speicherort suchen und dann auf Webzeichnung.
2. Wechseln Sie zur Testdokumentbibliothek, geben Sie einen Namen für die
Testzeichnung ein, und klicken Sie dann auf Speichern.
187
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Die Zeichnung wird im Browser geöffnet.
3. Wählen Sie in der Benachrichtigung zur Deaktivierung der Aktualisierung Aktivieren
(immer) aus.
188
Identitätsdelegierung für Visio Services (SharePoint Server 2010)
4. Die Datenverbindung sollte automatisch aktualisiert werden, und keine Fehler
sollten auftreten.
5. Öffnen Sie SQL Server Management Studio, und ändern Sie die in der Webzeichnung
angezeigte Datenzeile.
6. Aktualisieren Sie die Datenverbindung, indem Sie oben im Zeichnungsfenster auf die
Schaltfläche Aktualisieren klicken. Wenn die Delegierung ordnungsgemäß
konfiguriert ist, sollte die Datenaktualisierung zu erkennen sein.
189
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
190
Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010)
Identitätsdelegierung für
PerformancePoint Services (SharePoint
Server 2010)
Veröffentlichung: 02.12.10
In diesem Szenario fügen Sie die PerformancePoint Services-Dienstanwendung der
SharePoint Server-Umgebung hinzu. Anschließend konfigurieren Sie die eingeschränkte
Kerberos-Delegierung, damit der Dienst Daten aus einem externen Analysis ServicesCube abrufen kann und die Möglichkeit hat, Daten aus SQL Server abzurufen.
Hinweis:
Bei einer Installation unter Windows Server 2008 muss ggf. der folgende Hotfix für die
Kerberos-Authentifizierung installiert werden:
Kerberos-Authentifizierung misslingt bei Verwenden des AES-Algorithmus auf einem
Computer mit Windows Server 2008 oder Windows Vista mit dem Fehlercode
0X80090302 oder 0x8009030f (http://support.microsoft.com/kb/969083/de-de)
Voraussetzungen für dieses Szenario
Bevor Sie dieses Szenario angehen, müssen die folgenden Aufgaben erledigt sein:

Szenario 1: Kernkonfiguration

Szenario 2: Kerberos-Authentifizierung für SQL OLTP (optional)

Szenario 3: Kerberos-Authentifizierung für SQL Server Analysis Services
191
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Checkliste für die Konfiguration
Konfigurationsbereich
Beschreibung
Active DirectoryKonfiguration
Erstellen eines PerformancePoint Services-Dienstkontos
Erstellen eines Dienstprinzipalnamens für das Dienstkonto, mit
dem der PerformancePoint-Dienst auf dem Anwendungsserver
ausgeführt wird
Überprüfen des Dienstprinzipalnamens von Analysis Services für
das SQL Server Analysis Services-Dienstkonto, vmlab\svcSQLAS
(erfolgt in Szenario 3)
und
(Optional) Überprüfen des Dienstkontos des SQL ServerDatenbankmoduls, vmlab\svcSQL (erfolgt in Szenario 2).
Konfigurieren eingeschränkter Kerberos-Delegierung für das
Forderungen an den Windows-Tokendienst (C2WTS)Dienstkonto für Analysis Services
Konfigurieren der eingeschränkten Kerberos-Delegierung für das
PerformancePointServices-Dienstkonto für Analysis Services
SharePoint ServerKonfiguration
Starten des Forderungen an den Windows-Tokendiensts
(C2WTS) auf Servern mit PerformancePoint Services
Starten der PerformancePoint Services-Dienstinstanz auf dem
Server mit PerformancePoint Services
Erstellen der PerformancePoint Services-Dienstanwendung und
des Proxys
Überprüfen der Identität der PerformancePoint-Anwendung
Erteilen von Berechtigungen für die Inhaltsdatenbank der
Webanwendung für das PerformancePoint Services-Dienstkonto
192
Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010)
Konfigurationsbereich
Beschreibung
Konfigurieren des vertrauenswürdige Dateispeicherorts und von
Authentifizierungseinstellungen für PerformancePoint Services
Überprüfen der
Erstellen einer Dokumentbibliothek zum Hosten eines
eingeschränkten
Testdashboards
PerformancePoint
Services-Delegierung Erstellen einer Datenquelle, die auf einen vorhandenen SQL
Server Analysis Services-Cube verweist
Erstellen einer vertrauenswürdigen PerformancePointInhaltsliste
Erstellen des PerformancePoint-Testdashboards
Veröffentlichen des Dashboards in SharePoint Server
Details der Szenarioumgebung
Pfade der eingeschränkten Kerberos-Delegierung
193
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
In diesem Szenario wird das PerformancePoint Services-Dienstkonto für die
eingeschränkte Kerberos-Delegierung für den SQL Server-Dienst konfiguriert.
Hinweis:
In diesem Szenario wird der Forderungen an den Windows-Tokendienst (C2WTS) für die
Verwendung eines dedizierten Dienstkontos konfiguriert. Wenn Sie den Forderungen an
den Windows-Tokendienst (C2WTS) weiter das Konto Lokales System verwenden
lassen, müssen Sie die eingeschränkte Delegierung für das Computerkonto des
Computers konfigurieren, auf dem der Forderungen an den Windows-Tokendienst
(C2WTS) und Excel Services ausgeführt werden.
Logische SharePoint Server-Authentifizierung
Die Authentifizierung in diesem Szenario beginnt mit der Clientauthentifizierung über
Kerberos auf dem Web-Front-End-Server. SharePoint Server 2010 wandelt das
Windows-Authentifizierungstoken mithilfe des lokalen Sicherheitstokendiensts in ein
Forderungstoken um. Die PerformancePoint Services-Anwendung akzeptiert das
Forderungstoken und wandelt es mithilfe des zum Windows Identity Framework (WIF)
gehörenden Forderungen an den Windows-Tokendienst (C2WTS) in ein Windows-Token
(Kerberos) um. Die PerformancePoint Services-Anwendung verwendet anschließend das
Kerberos-Ticket zur Authentifizierung bei der Datenquelle im Back-End.
194
Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010)
Schrittweise Konfigurationsanweisungen
Active Directory-Konfiguration
Erstellen eines PerformancePoint Services-Dienstkontos
Empfohlen wird, die PerformancePoint Services-Anwendung unter ihrer eigenen
Domänenidentität auszuführen. Zum Konfigurieren der PerformancePoint ServicesAnwendung muss ein Active Directory-Konto erstellt und in SharePoint Server 2010 als
verwaltetes Konto registriert werden. Weitere Informationen zu finden Sie unter
Verwaltete Konten in SharePoint 2010. In diesem Beispiel wird das folgende Konto
erstellt und später in diesem Szenario registriert:
SharePoint Server-Dienst
IIS-Anwendungspoolidentität
PerformancePoint-Dienste
vmlab\svcPPS
* HINWEIS: Sie können optional ein einzelnes Domänenkonto für mehrere Dienste
wiederverwenden. Diese Konfiguration wird in den folgenden Abschnitt nicht behandelt.
Erstellen eines Dienstprinzipalnamens für das Dienstkonto, mit dem der
PerformancePoint-Dienst auf dem Anwendungsserver ausgeführt wird
Die Kerberos-Delegierung wird zumeist im Active Directory-Snap-In Benutzer und
Computer konfiguriert. Hierfür muss dem zu konfigurierenden Active Directory-Objekt
ein Dienstprinzipalname zugeordnet werden. Andernfalls wird die Registerkarte
Delegierung des Objekts in dessen Eigenschaftendialogfeld nicht angezeigt. Wenngleich
PerformancePoint Services für den Betrieb keinen Dienstprinzipalnamen benötigt, wird
für diesen Zweck einer konfiguriert. Beachten Sie, dass wenn dem Dienstkonto bereits
ein Dienstprinzipalname zugeordnet wurde (bei gemeinsamer Nutzung von Konten
durch Dienste), dieser Schritt nicht erforderlich ist.
Führen Sie an der Eingabeaufforderung folgenden Befehl aus:
SETSPN -S SP/PPS vmlab\svcPPS
195
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Hinweis:
Der Dienstprinzipalname ist kein gültiger Dienstprinzipalname und wird dem angegebenen
Dienstkonto zugeordnet, um die Delegierungsoptionen im Active Directory-Snap-In
Benutzer und Computer zu veranschaulichen. Es gibt andere unterstützte Möglichkeiten
zur Angabe der Delegierungseinstellungen (insbesondere das Attribut msDSAllowedToDelegateTo), die in diesem Artikel jedoch nicht behandelt werden.
Überprüfen des Dienstprinzipalnamens von Analysis Services für
das SQL Server Analysis Services-Dienstkonto, vmlab\svcSQLAS
(erfolgt in Szenario 3) UND (Optional) Überprüfen des Dienstkontos
des SQL Server-Datenbankmoduls, vmlab\svcSQL (erfolgt in
Szenario 2)
Stellen Sie sicher, dass der Dienstprinzipalname für das SQL Analysis Services-Konto
(vmlab\svcSQLAS) vorhanden ist, indem Sie den folgenden SetSPN-Befehl verwenden:
SetSPN -L vmlab\svcSQLAS
Folgendes sollte angezeigt werden:
MSOLAPSvc.3/MySqlCluster
Überprüfen Sie mit dem folgenden SetSPN-Befehl, ob der Dienstprinzipalname für das
SQL Server-Dienstkonto (vmlab\svcSQL) vorhanden ist:
SetSPN -L vmlab\svcSQL
Folgendes sollte angezeigt werden:
MSOLAPSvc.3/MySqlCluster
196
Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010)
Konfigurieren der eingeschränkten Kerberos-Delegierung zwischen
dem PerformancePoint Services-Dienstkonto und dem SSAS-Dienst
und optional für SQL Server
Damit PerformancePoint-Dienste die Identität des Clients delegieren können, muss die
eingeschränkte Kerberos-Delegierung konfiguriert werden. Ferner müssen Sie die
eingeschränkte Delegierung mit Protokollübergang für die Umwandlung von
Forderungstoken in Windows-Token über den Forderungen an den WindowsTokendienst (C2WTS) von Windows Identity Framework (WIF) konfigurieren.
Servern, auf denen PerformancePoint-Dienste ausgeführt werden, muss für die
Delegierung von Anmeldeinformationen an alle Back-End-Dienste vertraut werden, bei
denen sich PerformancePoint authentifiziert. Darüber hinaus muss das
PerformancePoint Services-Dienstkonto ebenfalls für das Zulassen der Delegierung an
dieselben Back-End-Dienste konfiguriert werden. Beachten Sie auch, dass HTTP/Portal
und HTTP/Portal.vmlab.local für die Delegierung konfiguriert sind, um eine SharePointListe als optionale Datenquelle für Ihr PerformancePoint-Dashboard hinzuzufügen.
In unserem Beispiel werden die folgenden Delegierungspfade definiert:
Prinzipaltyp
Prinzipalname
User
Vmlab\svcC2WTS
User
Vmlab\svcPPS
So konfigurieren Sie die eingeschränkte Delegierung
1. Öffnen Sie die Eigenschaften des Active Directory-Objekts in Active DirectoryBenutzer und -Computer.
2. Navigieren Sie zur Registerkarte Delegierung.
197
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
3. Wählen Sie Benutzer bei Delegierungen angegebener Dienste vertrauen aus.
4. Wählen Sie anschließend Beliebiges Authentifizierungsprotokoll verwenden aus.
5. Klicken Sie auf die Schaltfläche Hinzufügen, um den Dienstprinzipal auszuwählen.
6. Wählen Sie Benutzer und Computer aus.
198
Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010)
7. Wählen Sie das Dienstkonto aus, mit dem der Dienst ausgeführt wird, an den die
Delegierung erfolgen soll (SQL Server, SQL Server Analysis Services oder beides).
Hinweis:
Dem ausgewählten Dienstkonto muss ein Dienstprinzipalname zugeordnet sein. In
unserem Beispiel wurde der Dienstprinzipalname für dieses Konto in einem vorherigen
Szenario konfiguriert. Weitere Informationen finden Sie in den Abschnitt KerberosAuthentifizierung für SQL OLTP und Kerberos-Authentifizierung für SQL Analysis Services
in diesem Dokument.
8. Klicken Sie auf OK.
9. Wählen Sie die Dienstprinzipalnamen aus, an die die Delegierung erfolgen soll, und
klicken Sie dann auf OK.
199
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
10. Die ausgewählten Dienstprinzipalnamen sollten nun in der Liste Dienste, für die
dieses Konto delegierte Anmeldeinformationen verwenden kann enthalten sein.
200
Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010)
11. Wiederholen Sie diese Schritte für alle Delegierungspfade, die am Anfang dieses
Abschnitts definiert wurden.
SharePoint Server-Konfiguration
Konfigurieren und Starten des Forderungen an den WindowsTokendiensts (C2WTS) auf Servern mit PerformancePoint Services
Der Forderungen an den Windows-Tokendienst (C2WTS) ist eine Komponente von
Windows Identity Foundation (WIF) und für das Umwandeln von
Benutzeranspruchstoken in Windows-Token zuständig. Dies erfolgt in PerformancePoint
Services, wenn die Dienste Anmeldeinformationen an ein Back-End-System delegieren
müssen, das mit der integrierten Windows-Authentifizierung arbeitet. WIF wird mit
201
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
SharePoint Server 2010 bereitgestellt, der Forderungen an den Windows-Tokendienst
(C2WTS) kann in der Zentraladministration gestartet werden.
Auf jedem PerformancePoint Services-Anwendungsserver muss der Forderungen an den
Windows-Tokendienst (C2WTS) lokal ausgeführt werden. Dieser Dienst öffnet keine
Ports, und Remoteaufrufer können nicht auf ihn zugreifen. Darüber hinaus muss die
Dienstkonfigurationsdatei des Forderungen an den Windows-Tokendiensts (C2WTS) so
konfiguriert werden, dass der lokalen aufrufenden Clientidentität vertraut wird.
Empfohlen wird, den Forderungen an den Windows-Tokendienst (C2WTS) mit einem
dedizierten Dienstkonto und nicht als Lokales System (Standardkonfiguration)
auszuführen. Das Dienstkonto des Forderungen an den Windows-Tokendiensts (C2WTS)
erfordert spezielle lokale Berechtigungen für jeden Server, auf dem der Dienst ausgeführt
wird. Vergewissern Sie sich, dass Sie diese Berechtigungen konfiguriert haben, wenn Sie
den Forderungen an den Windows-Tokendienst (C2WTS) mit einem Domänenkonto
ausführen. Um sicherzustellen, dass das Konto des Forderungen an den WindowsTokendienst (C2WTS) die benötigten Registerkarten auswählt, starten Sie den Server
nach der Konfiguration des Forderungen an den Windows-Tokendiensts (C2WTS) neu.
*HINWEIS: Wenn Sie den Forderungen an den Windows-Tokendienst (C2WTS) als
Lokales System konfigurieren, müssen Sie keine weitere lokalen Berechtigungen
konfigurieren.
So starten Sie den Forderungen an den Windows-Tokendienst (C2WTS)
1. Erstellen Sie in Active Directory ein Dienstkonto, unter dem der Dienst ausgeführt
wird. In diesem Beispiel wird vmlab\svcC2WTS erstellt.
2. Ordnen Sie dem Dienstkonto einen beliebigen Dienstprinzipalnamen zu, um die
Delegierungsoptionen für dieses Konto in Active Directory-Benutzer und -Computer
anzuzeigen. Dieser Name darf ein beliebiges Format haben, da beim Forderungen an
den Windows-Tokendienst (C2WTS) keine Kerberos-Authentifizierung erfolgt. Es
wird empfohlen, keinen HTTP-Dienstprinzipalnamen zu wählen, damit in Ihrer
Umgebung keine doppelten Namen generiert werden. Im Beispiel wurde SP/C2WTS
bei vmlab\svcC2WTS mit folgendem Befehl registriert:
SetSPN -S SP/C2WTS vmlab\svcC2WTS
3. Konfigurieren Sie die eingeschränkte Kerberos-Delegierung für das Dienstkonto des
Forderungen an den Windows-Tokendiensts (C2WTS). In diesem Szenario werden
Anmeldeinformationen an den SQL Server-Dienst delegiert, der mit dem
Dienstprinzipalnamen MSOLAPsvc.3/MySqlCluster.vmlab.local ausgeführt wird.
202
Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010)
4. Konfigurieren Sie anschließend die vom Forderungen an den Windows-Tokendienst
(C2WTS) benötigten lokalen Serverberechtigungen, die auf allen Servern
konfiguriert werden müssen, auf denen der Forderungen an den WindowsTokendienst (C2WTS) ausgeführt wird. In unserem Beispiel ist dies VMSP10APP01.
Melden Sie sich an diesem Server an, und erteilen Sie dem Forderungen an den
Windows-Tokendienst (C2WTS) die folgenden Berechtigungen:
a) Fügen Sie das Dienstkonto der lokalen Gruppe Administratoren hinzu.
203
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
b) Erteilen Sie in der lokalen Sicherheitsrichtlinie (secpol.msc) unter Zuweisen
von Benutzerrechten dem Dienstkonto die folgenden Berechtigungen:
i.
Einsetzen als Teil des Betriebssystems
ii.
Annehmen der Clientidentität nach Authentifizierung
iii.
Anmelden als Dienst
5. Öffnen Sie die Zentraladministration.
6. Registrieren Sie im Abschnitt Sicherheit unter Verwaltete Dienstkonten
konfigurieren das Dienstkonto des Forderungen an den Windows-Tokendiensts
(C2WTS) als verwaltetes Konto.
7. Wählen Sie unter Dienste den Eintrag Dienste auf dem Server verwalten aus.
8. Wählen Sie im Auswahlfeld Server rechts oben den/die Server aus, auf dem/denen
PerformancePoint-Dienste ausgeführt werden. In diesem Beispiel heißt der Server
VMSP10APP01.
9. Navigieren Sie zu Forderungen an den Windows-Tokendienst, und starten Sie den Dienst.
204
Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010)
10. Wechseln Sie im Abschnitt Sicherheit zu Dienstkonten verwalten. Ändern Sie die
Identität des Forderungen an den Windows-Tokendiensts (C2WTS) in das neue
verwaltete Konto.
Hinweis:
Wenn der Forderungen an den Windows-Tokendienst (C2WTS) bereits ausgeführt wurde,
bevor Sie das dedizierte Dienstkonto konfiguriert haben, oder Sie die Berechtigungen des
Dienstkontos nach Start des Forderungen an den Windows-Tokendiensts (C2WTS)
ändern müssen, starten Sie den Dienst über die Konsole Dienste neu.
Falls darüber hinaus Probleme mit dem Forderungen an den Windows-Tokendienst
(C2WTS) nach dem Neustart des Diensts vorliegen sollten, müssen Sie ggf. die IISAnwendungspools zurücksetzen, die mit dem Forderungen an den WindowsTokendienst (C2WTS) kommunizieren.
205
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Hinzufügen von Startabhängigkeiten zum Forderungen an den
Windows-Tokendienst (C2WTS) im WIF
Beim Forderungen an den Windows-Tokendienst (C2WTS) gibt es ein bekanntes
Problem. Der Dienst wird bei einem Systemneustart nicht automatisch erfolgreich
gestartet. Dieses Problem kann behoben werden, indem für die Kryptografiedienste
eine Abhängigkeit konfiguriert wird:
1. Öffnen Sie das Eingabeaufforderungsfenster.
2. Geben Sie Folgendes ein: sc config c2wts depend= CryptSvc
3. Wechseln Sie in der Konsole Dienste zum Claims to Windows Token Service.
4. Öffnen Sie die Eigenschaften des Diensts.
206
Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010)
5. Überprüfen Sie die RegisterkarteAbhängigkeiten. Prüfen Sie, ob
Kryptografiedienste aufgeführt ist.
6. Klicken Sie auf OK.
7. Starten Sie den Server neu. Vergewissern Sie sich, dass der Forderungen an den
Windows-Tokendienst (C2WTS) nach dem Neustart des Computers gestartet wurde.
Starten der PerformancePoint Services-Dienstinstanz auf dem Server
mit PerformancePoint Services
Starten Sie vor dem Erstellen einer PerformancePoint Services-Dienstanwendung den
PerformancePoint Services-Dienst auf den vorgesehenen Farmservern. Weitere
Informationen zur PerformancePoint Services-Konfiguration finden Sie unter
PerformancePoint Services-Verwaltung auf Microsoft TechNet.
1. Öffnen Sie die Zentraladministration.
2. Wählen Sie unter Dienste den Eintrag Dienste auf dem Server verwalten aus.
3. Wählen Sie im Auswahlfeld Server rechts oben den/die Server aus, auf dem/denen
PerformancePoint-Dienste ausgeführt werden. In diesem Beispiel heißt der Server
VMSP10APP01.
207
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
4. Starten Sie den Dienst PerformancePoint Services.
Erstellen der PerformancePoint Services-Dienstanwendung und des
Proxys
Konfigurieren Sie anschließend eine neue PerformancePoint Services-Dienstanwendung
und einen Anwendungsproxy, um Webanwendungen die Nutzung von
PerformancePoint Services zu ermöglichen:
1. Öffnen Sie die Zentraladministration.
2. Klicken Sie unter Anwendungsverwaltung auf Dienstanwendungen verwalten.
208
Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010)
3. Klicken Sie auf Neu und dann auf PerformancePoint Services-Anwendung.
4. Konfigurieren Sie die neue Dienstanwendung. Wählen Sie das ordnungsgemäße
Dienstkonto aus, oder erstellen Sie ein neues verwaltetes Konto, falls noch nicht
geschehen.
209
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Hinweis:
Das Konfigurieren des unbeaufsichtigten Dienstkontos ist in diesem Szenario optional
und nur erforderlich, wenn Sie auch die NTLM-Authentifizierung testen möchten.
Sie können ein neues Dienstkonto für einen vorhandenen dedizierten Anwendungspool
für PerformancePoint Services vor diesem Schritt oder beim Erstellen des neuen
PerformancePoint-Diensts erstellen und registrieren. Zum Zuordnen des Dienstkontos
210
Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010)
zu einem vorhandenen dedizierten Anwendungspool für PerformancePoint oder
Überprüfen eines vorhandenen Kontos führen Sie die folgenden Schritte aus.
1. Klicken Sie auf der Website für die Zentraladministration im Abschnitt Sicherheit auf
Verwaltete Konten konfigurieren.
2. Wählen Sie im Dropdownfeld den Anwendungspool aus.
3. Wählen Sie das Active Directory-Konto aus.
Erteilen von Berechtigungen für die Inhaltsdatenbank der
Webanwendung für das PerformancePoint Services-Dienstkonto
Ein erforderlicher Schritt bei der Konfiguration von SharePoint Server 2010-OfficeWebanwendungen besteht darin, dem Dienstkonto der Webanwendung den Zugriff auf
die Inhaltsdatenbanken einer bestimmten Webanwendung zu ermöglichen. In diesem
Beispiel wird dem PerformancePoint Services-Konto Zugriff auf die Inhaltsdatenbank der
Webanwendung „portal“ über Windows PowerShell erteilt.
Führen Sie den folgenden Befehl an der SharePoint 2010-Verwaltungsshell aus:
$w = Get-SPWebApplication -Identity http://portal
$w.GrantAccessToProcessIdentity("vmlab\svcPPS")
211
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Konfigurieren des vertrauenswürdige Dateispeicherorts und von
Authentifizierungseinstellungen für PerformancePoint Services
Nach Erstellen der PerformancePoint Services-Anwendung müssen Sie die Eigenschaften
der neuen Dienstanwendung konfigurieren, um einen vertrauenswürdigen
Hostspeicherort und Authentifizierungseinstellungen anzugeben.
1. Öffnen Sie die Zentraladministration.
2. Klicken Sie unter Anwendungsverwaltung auf Dienstanwendungen verwalten.
3. Klicken Sie auf den Link der neuen Dienstanwendung PerformancePoint Services,
und klicken Sie auf dem Menüband auf Verwalten.
4. Klicken Sie auf dem Bildschirm zur Verwaltung von PerformancePoint Services auf
Vertrauenswürdige Datenquellen-Speicherorte.
212
Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010)
5. Wählen Sie die Option Nur bestimmte Orte aus, und klicken Sie auf
Vertrauenswürdigen Datenquellen-Speicherort hinzufügen.
6. Geben Sie die URL des Speicherorts ein, wählen Sie die Option Websitesammlung
(und Unterstruktur) aus, und klicken Sie dann auf OK.
7. Wählen Sie die Option Nur bestimmte Orte aus, und klicken Sie auf
Vertrauenswürdigen Datenquellen-Speicherort hinzufügen.
213
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
8. Geben Sie die URL des Speicherorts ein, wählen Sie die Option Website (und
Unterstruktur) aus, und klicken Sie dann auf OK.
214
Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010)
Überprüfen der eingeschränkten PerformancePoint
Services-Delegierung
Hinweis: In größeren Umgebungen mit mehreren Servern mit Active Directory müssen
Sie ggf. den Abschluss der Active Directory-Replikation abwarten, bevor Sie mit der
Überprüfung der Konfiguration beginnen.
Erstellen eines PerformancePoint-Testdashboards mit einer SQL
Server Analysis Services-Datenverbindung
Öffnen Sie als Nächstes PerformancePoint Dashboard Designer, und erstellen Sie eine
Analysis Services-Datenverbindung.
1. Öffnen Sie PerformancePoint Dashboard Designer, und klicken Sie dann mit der
rechten Maustaste, um eine Verbindung zu erstellen.
2. Wählen Sie Analysis Services aus.
215
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
3. Geben Sie den Server, die Datenbank und den Cube an, und wählen Sie Identität
pro Benutzer aus.
216
Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010)
4. Klicken Sie auf Datenquelle testen, um die Verbindung zu testen.
217
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
5. Erstellen Sie einen Bericht und ein Dashboard.
6. Vergewissern Sie sich, dass Sie über eine Datenverbindung verfügen, indem Sie
Measures und Dimensionen aus dem Detailbereich in den Berichts-Designer ziehen.
218
Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010)
7. Ihr Bericht kann in das Dashboard einbezogen werden.
Wählen Sie Berichte aus, und ziehen Sie dann Mein Bericht auf die Seite
Dashboardinhalt.
Veröffentlichen des Dashboards in SharePoint Server
Der letzte Schritt bei der Überprüfung der PerformancePoint Services-Anwendung ist
das Veröffentlichen des Dashboards und Testen der Aktualisierung und Anzeige der
Analysis Services-Daten. Gehen Sie dazu folgendermaßen vor:
1. Klicken Sie auf das helle Dateischaltflächensymbol.
219
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
2. Klicken Sie im Dateiauswahlbereich auf Bereitstellen.
3. Wählen Sie eine Gestaltungsvorlage aus, in der die Veröffentlichung erfolgen soll.
4. Klicken Sie im Browser auf die Schaltfläche Aktualisieren.
Wenn die Datenverbindung aktualisiert wird, haben Sie die Kerberos-Delegierung
für PerformancePoint Services erfolgreich konfiguriert.
220
Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010)
221
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Identitätsdelegierung für Business
Connectivity Services (SharePoint Server
2010)
Veröffentlichung: 02.12.10
In diesem Szenario konfigurieren Sie die Business Data Connectivity-Dienstanwendung
für die Verwendung der eingeschränkten Kerberos-Delegierung zur Authentifizierung
bei SQL Server. Nach Abschluss der Konfiguration erstellen Sie einen neuen externen
Inhaltstyp und eine externe Liste, um die Authentifizierung und Lesevorgänge in einer
SharePoint-Website zu testen.
In diesem Szenario befinden sich die SharePoint Server-Farm und die BCS-Datenquelle
beide in der gleichen Domäne. Daher konfigurieren wir eingeschränkte KerberosDelegierung, um die Identitätsdelegierung an die Back-End-Datenquelle zu ermöglichen.
Wenn Sie sich bei Datenquellen in anderen Domänen in der gleichen Gesamtstruktur
authentifizieren müssen, müssen Sie einfache (nicht eingeschränkte) KerberosDelegierung konfigurieren. Denken Sie daran, dass BCS den Forderungen-zu-WindowsTokens-Dienst (C2WTS) nicht nutzt und daher einfache Delegierung verwenden kann.
Hinweis:
Bei einer Installation unter Windows Server 2008 muss ggf. der folgende Hotfix für die
Kerberos-Authentifizierung installiert werden:
Kerberos-Authentifizierung misslingt bei Verwenden des AES-Algorithmus auf einem
Computer mit Windows Server 2008 oder Windows Vista mit dem Fehlercode
0X80090302 oder 0x8009030f (http://support.microsoft.com/kb/969083/de-de)
222
Identitätsdelegierung für Business Connectivity Services (SharePoint Server 2010)
Voraussetzungen für dieses Szenario
Damit Sie dieses Szenario durcharbeiten können, müssen Sie Folgendes bereits
ausgeführt haben:

Szenario 1: Kernkonfiguration

Szenario 2: Kerberos-Authentifizierung für SQL OLTP
Checkliste für die Konfiguration
Konfigurationsbereich
Beschreibung
Active Directory-Konfiguration
Erstellen des BCS-Anwendungsdienstkontos
Überprüfen der Dienstprinzipalnamen
Delegierung konfigurieren
SharePoint Server-Konfiguration
BCS-Dienstinstanz starten
BCS-Dienstanwendung erstellen
Überprüfung
Externen BCS-Inhaltstyp erstellen
Sicherheit für BCS konfigurieren
Erstellen einer externen BCS-Liste
Öffnen der externen Liste im Browser
223
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Details der Szenarioumgebung
Kerberos delegation
SQL Database Engine Identity
Vmlab\svcSQL
SPN: MSSQLSVC/MySqlCluster.vmlab.local:1433
SQL
App Pool Identities
vmSQL2k8r2-01
Default Instance
Port: 1433
vmSP10WFE01
vmSQL2k8r2-02
vmSP10WFE02
SQL Cluster
DNS (A):
MySQLCluster.vmlab.local
IIS Application Pool
IIS App Pool Identity
Vmlab\svcPortal10App
SPN: HTTP/Portal
HTTP/Portal.vmlab.local
SQL Database Engine Identity
Vmlab\svcSQL
SPN: MSSQLSVC/MySqlCluster.vmlab.local:1433
Kerberos delegation
SharePoint Site
ADO.NET
ECT
External List
BCS Service App
SQL
ECT Definition
Schrittweise Konfigurationsanweisungen
Active Directory-Konfiguration
Erstellen des BCS-Anwendungsdienstkontos
Es wird empfohlen, Business Connectivity Services unter einer eigenen
Domänenidentität auszuführen. Zum Konfigurieren der BCS-Anwendung müssen Sie ein
224
Identitätsdelegierung für Business Connectivity Services (SharePoint Server 2010)
Active Directory-Konto erstellen. Bei diesem Beispiel wurden die folgenden Konten
erstellt:
SharePoint Server-Dienst
IIS-Anwendungspoolidentität
Business Connectivity Services vmlab\svcBDC
Überprüfen der Dienstprinzipalnamen
Externe BCS-Inhaltstypen werden innerhalb des Kontexts des IIS-Anwendungspools
mithilfe des ECT-Typs ausgeführt, wenn BCS-Daten in SharePoint-Websites verwendet
werden. Damit BCS mithilfe von Kerberos-Authentifizierung eine Verbindung zu
externen Datenquellen herstellt und bei diesen Datenquellen eine Authentifizierung
durchführt, müssen für die Dienstkonten des IIS-Anwendungspools und für das
Dienstkonto für die externe Datenquelle Dienstprinzipalnamen konfiguriert sein.
Informationen zum Konfigurieren und Überprüfen der erforderlichen
Dienstprinzipalnamen in den Webanwendungen und SQL Server-Dienstkonten finden
Sie in den Szenarien 1 und 2 in diesem Dokument.
Konfigurieren der Delegierung
Damit BCS die Identität des Clients delegieren kann, muss Kerberos-Delegierung
konfiguriert werden. Technisch gesehen ist zwar die eingeschränkte Delegierung nicht
erforderlich – beispielsweise kann in Excel Services uneingeschränkte Delegierung für
BCS verwendet werden –, doch hat es sich bewährt, den Umfang der Delegierungen zu
begrenzen, die der Dienst ausführen kann. Deshalb wird in diesem Beispiel
eingeschränkte Delegierung konfiguriert.
Jedes IIS-Anwendungspool-Dienstkonto, von dem die Website mit dem externen
Inhaltstyp gehostet wird, muss so konfiguriert werden, dass Delegierung an die BackEnd-Dienste erlaubt ist.
In unserem Beispiel werden die folgenden Delegierungspfade benötigt:
225
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Prinzipaltyp
Prinzipalname
Erforderliche Stellvertretungen
User
svcPortal10App
MSSQLSVC/MySqlCluster.vmlab.local:1433
User
svcTeams10App
MSSQLSVC/MySqlCluster.vmlab.local:1433
So konfigurieren Sie die eingeschränkte Delegierung
1. Öffnen Sie die Eigenschaften des Active Directory-Objekts in Active DirectoryBenutzer und -Computer.
2. Navigieren Sie zur Registerkarte Delegierung.
226
Identitätsdelegierung für Business Connectivity Services (SharePoint Server 2010)
3. Wählen Sie Benutzer bei Delegierungen angegebener Dienste vertrauen aus.
Hinweis:
Wenn BCS bei Datenquellen innerhalb derselben Gesamtstruktur, aber außerhalb der
Domäne, in der sich SharePoint Server befindet, authentifiziert werden muss, empfiehlt
es sich, Computer bei Delegierungen aller Dienste vertrauen auszuwählen, um einfache
Delegierung statt eingeschränkter Delegierung zu konfigurieren. Der externe BCSInhaltstyp wird im IIS-Arbeitsprozess der Webanwendung ausgeführt und verwendet
nicht den Forderungen-zu-Windows-Tokens-Dienst (C2WTS). Denken Sie daran, dass
eine gesamtstrukturübergreifende Kerberos-Delegierung nicht möglich ist.
4. Klicken Sie auf die Schaltfläche Hinzufügen, um den Dienstprinzipal auszuwählen, an
den delegiert werden kann.
5. Wählen Sie Benutzer und Computer aus.
227
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
6.
Wählen Sie das Dienstkonto aus, mit dem der Dienst ausgeführt wird, an den die
Delegierung erfolgen soll. In diesem Beispiel ist dies das Dienstkonto für den SQL
Server-Dienst.
Hinweis:
Dem ausgewählten Dienstkonto muss ein Dienstprinzipalname zugeordnet sein. In
unserem Beispiel wurde der Dienstprinzipalname für dieses Konto in einem vorherigen
Szenario konfiguriert.
7. Klicken Sie auf OK.
8. Wählen Sie die zu delegierenden Dienstprinzipalnamen aus, und klicken Sie dann auf OK.
228
Identitätsdelegierung für Business Connectivity Services (SharePoint Server 2010)
9. Wählen Sie die Dienste für den SQL Server-Cluster aus, und klicken Sie auf OK.
Die ausgewählten Dienstprinzipalnamen sollten nun in der Liste Dienste, für die
dieses Konto delegierte Anmeldeinformationen verwenden kann angezeigt werden:
10. Wiederholen Sie diese Schritte für jeden Delegierungspfad, der weiter oben in
diesem Abschnitt angegeben wurde.
Überprüfen Sie den MSSQLSVC-Dienstprinzipalnamen für das
Dienstkonto, mit dem der Dienst auf dem Server mit SQL Server
ausgeführt wird (in Szenario 2 erfolgt).
Überprüfen Sie mit dem folgenden SetSPN-Befehl, ob der Dienstprinzipalname für das
SQL Server-Dienstkonto (vmlab\svcSQL) vorhanden ist:
229
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
SetSPN -L vmlab\svcSQL
Folgendes sollte angezeigt werden:
MSOLAPSvc.3/MySqlCluster
MSSQLSVC/MySqlCluster.vmlab.local:1433
SharePoint Server-Konfiguration
Starten der BCS-Dienstinstanz
Bevor Sie eine BCS-Dienstanwendung erstellen, starten Sie den BCS-Dienst auf den
vorgesehenen Farmservern.
1. Öffnen Sie die Zentraladministration.
2. Wählen Sie unter Dienste die Option Dienste auf dem Server verwalten aus.
3. Wählen Sie im Feld Serverauswahl in der rechten oberen Ecke den bzw. die Server
mit Excel Services. In diesem Beispiel ist dies VMSP10APP01.
4. Starten Sie den Business Data Connectivity-Dienst.
230
Identitätsdelegierung für Business Connectivity Services (SharePoint Server 2010)
Erstellen der BCS-Dienstanwendung
Konfigurieren Sie als Nächstes eine neue BDC-Dienstanwendung und einen
Anwendungsproxy, damit Webanwendungen BDC-Dienste verwenden können:
1. Öffnen Sie die Zentraladministration.
2. Klicken Sie unter Anwendungsverwaltung auf Dienstanwendungen verwalten.
3. Klicken Sie auf Neu und dann auf Business Data Connectivity-Dienst.
4. Konfigurieren Sie die neue Dienstanwendung. Wählen Sie das ordnungsgemäße
Dienstkonto aus (erstellen Sie ein neues verwaltetes Konto, falls das BDCDienstkonto nicht in der Liste enthalten ist).
231
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Überprüfung
Erstellen eines externen BCS-Inhaltstyps
Für den Zugriff auf externe Daten über BDC muss ein externer BDC-Inhaltstyp erstellt
werden. Im aktuellen Beispiel erstellen wir den externen Inhaltstyp mithilfe von
SharePoint Designer 2010 in der Portalwebanwendung (http://portal):
1. Öffnen Sie SharePoint Designer 2010.
2. Öffnen Sie die Testwebsitesammlung unter „http://portal“.
232
Identitätsdelegierung für Business Connectivity Services (SharePoint Server 2010)
3. Klicken Sie im linken Navigationsbereich auf Externe Inhaltstypen.
4. Klicken Sie im Abschnitt Neu des Menübands in der linken oberen Ecke der Seite auf
Externer Inhaltstyp.
233
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
5. Geben Sie einen Anzeigenamen für den externen Inhaltstyp ein.
234
Identitätsdelegierung für Business Connectivity Services (SharePoint Server 2010)
6. Klicken Sie dann auf Klicken Sie hier, um externe Datenquellen zu ermitteln und
Vorgänge zu definieren.
7. Klicken Sie auf Verbindung hinzufügen.
235
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
8. Wählen Sie in der Dropdownliste Datenquellentyp den Eintrag SQL Server aus, und
fügen Sie die Informationen zum Herstellen der Verbindung zur Testdatenbank
hinzu. Wählen Sie unbedingt Verbindung mit der Identität des Benutzers herstellen
aus, um die Delegierung zu testen.
236
Identitätsdelegierung für Business Connectivity Services (SharePoint Server 2010)
9. Erweitern Sie die neue Verbindung. Klicken Sie mit der rechten Maustaste auf die
Testtabelle (Sales), und wählen Sie Alle Vorgänge erstellen aus.
10. Es sollte eine Fehlermeldung angezeigt werden, wonach kein eindeutiger Bezeichner
definiert ist. Wählen Sie die Bezeichnerspalte aus, und aktivieren Sie das Kontrollkästchen
Zuzuordnender Bezeichner. Klicken Sie auf Fertig stellen, um die Standardoptionen zu
übernehmen und die Vorgänge für den externen Inhaltstyp zu erstellen.
237
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
11. Klicken Sie auf Speichern (STRG+S). Dadurch wird der externe Inhaltstyp im
Metadatenspeicher der BDC-Dienstanwendung gespeichert.
Konfigurieren der Sicherheit für BCS
Bevor Clients den externen BCS-Inhaltstyp in der Portalwebanwendung verwenden
können, müssen BCS-Berechtigungen konfiguriert werden. BCS unterstützt ein
differenziertes Berechtigungsmodell. Zu Demozwecken konfigurieren wir jedoch
Sicherheit auf der Metadatenspeicherebene und geben die Änderungen in Bezug auf
Sicherheit an alle Objekte im Speicher weiter.
1. Öffnen Sie die Zentraladministration.
2. Klicken Sie unter Anwendungsverwaltung auf Dienstanwendungen verwalten.
238
Identitätsdelegierung für Business Connectivity Services (SharePoint Server 2010)
3. Klicken Sie auf den Link für die neue Dienstanwendung, in diesem Beispiel Business
Data Services.
4. Wählen Sie Berechtigungen für den Metadatenspeicher festlegen aus.
239
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
5. Im aktuellen Beispiel haben wir für Organisations-Admins alle Berechtigungen und
für Alle authentifizierten Benutzer alle Berechtigungen mit Ausnahme von
Berechtigungen festlegen erteilt.
6. Stellen Sie sicher, dass das Kontrollkästchen Berechtigungen weitergeben aktiviert
ist, und klicken Sie auf OK, um die Änderungen zu speichern.
Erstellen einer externen BCS-Liste
Zum Testen des externen Inhaltstyps konfigurieren wir eine externe Liste zum Anzeigen
der externen Daten in der Portalanwendung:
1. Öffnen Sie SharePoint Designer 2010.
2. Öffnen Sie die Testwebsitesammlung unter „http://portal“.
240
Identitätsdelegierung für Business Connectivity Services (SharePoint Server 2010)
3. Wählen Sie im linken Bereich Externe Inhaltstypen aus.
241
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
242
Identitätsdelegierung für Business Connectivity Services (SharePoint Server 2010)
4. Klicken Sie auf den Inhaltstyp, den Sie zuvor erstellt haben.
5. Klicken Sie auf dem Menüband auf Listen und Formulare erstellen.
6. Klicken Sie bei der Aufforderung, den externen Inhaltstyp zu speichern, auf Ja.
7. Geben Sie im Dialogfeld Liste und Formular erstellen im Textfeld Listenname einen
Namen für die Liste ein, und klicken Sie auf OK.
Öffnen der externen Liste im Browser
1. Öffnen Sie SharePoint Designer 2010.
2. Öffnen Sie die Testwebsitesammlung unter „http://portal“.
243
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
3. Klicken Sie im linken Navigationsbereich auf Listen und Bibliotheken.
4. Wählen Sie die externe Liste am unteren Ende der Liste Listen und Bibliotheken aus.
5. Klicken Sie auf die Schaltfläche Browservorschau.
244
Identitätsdelegierung für Business Connectivity Services (SharePoint Server 2010)
Internet Explorer wird geöffnet, und die ausgewählte Website und externe Liste
wird angezeigt.
245
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
6. Vergewissern Sie sich, dass die externen Daten korrekt angezeigt werden. Zur
weiteren Überprüfung der Verbindung ändern Sie die Quelldaten in SQL Server
Management Studio und aktualisieren die Browserseite. Die Datenänderungen
sollten im Browser wiedergegeben werden.
246
Bekannte Kerberos-Konfigurationsprobleme (SharePoint Server 2010)
Bekannte KerberosKonfigurationsprobleme (SharePoint
Server 2010)
Veröffentlichung: 02.12.10
Kerberos-Authentifizierung und NichtStandardports
Es gibt ein bekanntes Problem mit Kerberos-Clients (u. a. .NET Framework, Internet
Explorer 7 und 8), die beim Versuch der Authentifizierung mit für Kerberos aktivierten
Webanwendungen, die für Nicht-Standardports (andere Ports als 80 und 443)
konfiguriert sind, keine ordnungsgemäßen Dienstprinzipalnamen bilden. Die Ursache
des Problems ist, dass der Client den Dienstprinzipalnamen in der TGS-Anforderung
nicht ordnungsgemäß bildet, da die Angabe ohne Portnummer erfolgt (wie beim Sname
der TGS-Anforderung gesehen).
Beispiel:
Wenn die Webanwendung unter http://intranet.contoso.com:1234 ausgeführt wird,
fordert der Client ein Ticket für den Dienst mit dem Dienstprinzipalnamen
http/intranet.contoso.com anstatt http/intranet.contoso.com:1234 an.
Einzelheiten zu dem Problem finden Sie in den folgenden Artikeln:

Internet Explorer 6 kann nicht das Kerberos-Authentifizierungsprotokoll verwenden,
um eine Verbindung zu einer Website herzustellen, die einen nicht standardmäßigen
Port in Windows XP und Windows Server 2003 verwendet
(http://support.microsoft.com/kb/908209/de-de)

Konfigurieren der Kerberos-Authentifizierung (Office SharePoint Server 2007)
(http://go.microsoft.com/fwlink/?LinkId=196987&clcid=0x407)
Registrieren Sie zum Umgehen dieses Problems Dienstprinzipalnamen mit und ohne
Portnummer. Beispiel:

http://intranet.contoso.com:12345
247
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte

http/intranet

http/intranet.contoso.com

http/intranet:12345

http/intranet.contoso.com:12345
Es wird empfohlen, den Nicht-Standardport zu registrieren, um sicherstellen, dass bei
Behebung des Problems in einem künftigen Service Pack oder Hotfix die Anwendungen,
die die Problemumgebung verwenden, weiter funktionieren.
Beachten Sie, dass diese Problemumgehung bei folgenden Bedingungen nicht
funktioniert:

Am Nicht-Standardport werden mehrere Webanwendungen ausgeführt.

Die Webanwendungen sind entweder an den Hostnamen des Servers oder
denselben Hostheader (an unterschiedlichen Ports) gebunden.

Die IIS-Anwendungspools der Webanwendung verwenden unterschiedliche
Dienstkonten.

http://server.contoso.com:5000 AppPool Id: contoso\svcA

http://server.contoso.com:5001 AppPool Id: contoso\svcB
Wenn diese Bedingungen zutreffen, führt das Befolgen der Empfehlung in dieser
Problemumgehung zu doppelten Dienstprinzipalnamen, die bei verschiedenen
Dienstkonten registriert sind, wodurch die Kerberos-Authentifizierung nicht mehr
funktioniert.
Wenn es mehrere Websites mit einem gemeinsamen Hostnamen gibt, der an mehreren
Ports verwendet wird, und Sie unterschiedliche IIS-Anwendungspoolidentitäten für die
Webanwendungen verwenden, kann die Kerberos-Authentifizierung nicht für alle
Websites verwendet werden. (Eine Anwendung kann mit Kerberos arbeiten, während
die anderen ein anderes Authentifizierungsprotokoll benötigen.) Damit Kerberos bei
diesem Szenario für alle Anwendungen verwendet werden kann, müssen Sie einen der
folgenden Schritte ausführen:
1. Alle Webanwendungen unter einem gemeinsamen Dienstkonto ausführen
2. Jede Website mit einem eigenen Hostheader ausführen
248
Bekannte Kerberos-Konfigurationsprobleme (SharePoint Server 2010)
Kerberos-Authentifizierung und DNS CNAMEs
Es gibt ein bekanntes Problem mit Kerberos-Clients (u. a. .NET Framework, Internet
Explorer 7 und 8), die versuchen, sich mit für Kerberos aktivierten Diensten zu
authentifizieren und für die eine Auflösung mithilfe von DNS CNAMEs anstatt mithilfe von
A-Einträgen konfiguriert ist. Die Ursache des Problems ist, dass der Client in der TGSAnforderung den Dienstprinzipalnamen nicht ordnungsgemäß bildet, da er unter
Verwendung des Hostnamens (A-Eintrag) anstatt des Aliasnamens (CNAME) erstellt wird.
Beispiel:
A-Eintrag: wfe01.contoso.com
CNAME: intranet.contoso.com (als Alias zu wfe01.contoso.com)
Wenn der Client eine Authentifizierung mit http://intranet.contoso.com versucht,
bildet der Client den Dienstprinzipalnamen nicht ordnungsgemäß und fordert ein
Kerberos-Ticket für http/wfe01.contoso.com anstatt für http/intranet.contoso.com an.
Einzelheiten zu dem Problem finden Sie in den folgenden Artikeln:
http://support.microsoft.com/kb/911149/de-de
http://support.microsoft.com/kb/938305/de-de
Konfigurieren Sie zum Umgehen dieses Problems für Kerberos aktivierte Dienste mit
DNS A-Einträgen anstatt CNAME-Aliasen. Der im Knowledge Base-Artikel erwähnte
Hotfix korrigiert dieses Problem für Internet Explorer, aber nicht für .NET Framework
(das von Microsoft Office SharePoint Server für die Webdienstkommunikation
verwendet wird).
249
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Kerberos- und Kernelmodusauthentifizierung
Hinweis:
Die Kernelmodusauthentifizierung wird von SharePoint Server 2010-Produkten nicht
unterstützt. Diese Angaben dienen ausschließlich zu Informationszwecken.
Ab Internetinformationsdienste 7.0 (IIS) gibt es mit der Kernelmodusauthentifizierung
eine neue Authentifizierungsmöglichkeit. Wenn eine IIS-Website für die
Kernelmodusauthentifizierung konfiguriert ist, werden die Anforderungen des Clients
automatisch durch HTTP.sys und nicht durch den Arbeitsprozess des Anwendungspools
authentifiziert. Da HTTP.sys im Kernelmodus ausgeführt wird, ergibt sich eine bessere
Leistung, wenn auch mit ein wenig mehr Komplexität hinsichtlich der Konfiguration von
Kerberos. Der Grund ist, dass HTTP.sys unter der Identität des Computers und nicht
unter der des Arbeitsprozesses ausgeführt wird. Wenn HTTP.sys ein Kerberos-Ticket
empfängt, wird automatisch versucht, das Ticket mithilfe des Entschlüsselungsschlüssels
(bzw. geheimen Schlüssels) des Servers und nicht mithilfe des Schlüssels der Identität zu
entschlüsseln, unter der der Arbeitsprozess ausgeführt wird.
Wenn ein einzelner Webserver für die Kernelmodusauthentifizierung konfiguriert ist,
funktioniert Kerberos ohne zusätzliche Konfiguration oder Dienstprinzipalnamen, da der
Server automatischen einen Host-Dienstprinzipalnamen registriert, wenn er der
Domäne hinzugefügt wird. Wenn mehrere Webserver dem Lastenausgleich unterliegen,
funktioniert die Standardkonfiguration der Kernelmodusauthentifizierung nicht bzw.
zwischenzeitlich nicht, da der Client keine Möglichkeit hat sicherzustellen, dass das in
der TSG-Anforderung empfangene Dienstticket mit dem Server funktioniert, der die
Anforderung authentifiziert.
Gehen Sie zum Umgehen dieses Problems wie folgt vor:

Deaktivieren Sie die Kernelmodusauthentifizierung.

Konfigurieren Sie HTTP.sys zum Entschlüsseln von Diensttickets für die Verwendung
der Identität des IIS-Anwendungspools. Siehe Einstellungen für die
Kernelmodusauthentifizierung in Internetinformationsdienste 7.0 (Internet Information
Services, IIS).
Sie benötigen ggf. auch einen Hotfix, wenn Sie HTTP.sys für die Verwendung der
Anmeldeinformationen des Anwendungspools konfigurieren: Update: Wenn das
250
Bekannte Kerberos-Konfigurationsprobleme (SharePoint Server 2010)
AppPoolCredentials-Attribut auf „True“ festgelegt ist, erhalten Sie eine Stop
0x000000A5-Fehlermeldung auf einem blauen Bildschirm, wenn Sie ein
Domänenkonto als Identität des Anwendungspools in IIS 7.0 verwenden
Kerberos- und sitzungsbasierte
Authentifizierung
Bei der Verwendung der Kerberos-Authentifizierung mit IIS 7.0 oder höher kommt es
ggf. zu mehr Authentifizierungsdatenverkehr, was an die WindowsAuthentifizierungseinstellungen in IIS liegen kann, insbesondere an Folgendem:
Einstellung
Beschreibung
AuthPersistNonNTLM
Optionales boolesches Attribut.
Gibt an, ob IIS automatisch alle Nicht-NTLMAnforderungen (z. B. Kerberos) erneut authentifiziert,
auch diejenigen über dieselbe Verbindung. Falls True,
werden mehrere Authentifizierungen für dieselben
Verbindungen aktiviert.
Der Standardwert ist False.
Hinweis:
Die Einstellung False bedeutet, dass der Client für
dieselbe Verbindung nur einmal authentifiziert wird. IIS
speichert ein Token oder Ticket auf dem Server für eine
TCP-Sitzung, das eingerichtet bleibt.
authPersistSingleRequest Optionales boolesches Attribut.
Die Einstellung True gibt an, dass die Authentifizierung
nur für eine einzelne Anforderung über eine Verbindung
gilt. IIS setzt die Authentifizierung am Ende jeder
Anforderung zurück und erzwingt die erneute
Authentifizierung für die nächste Anforderung der
Sitzung.
Der Standardwert ist False.
251
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Anweisungen zum Konfigurieren der Authentifizierungspersistenz in IIS 7.0 finden Sie
unter Möglicherweise verlangsamte Leistung, wenn Sie die integrierte WindowsAuthentifizierung mit Kerberos-Authentifizierungsprotokoll in IIS 7.0 verwenden und
Implementierung der Zugriffssteuerung.
Kerberos-Authentifizierung und Probleme mit
doppelten/fehlenden Dienstprinzipalnamen
Beim Konfigurieren der Kerberos-Authentifizierung kann es leicht passieren, dass
doppelte Dienstprinzipalnamen konfiguriert werden, insbesondere wenn Sie SetSPN -A
oder das ADSI Edit-Tool (adsiedit.msc) zum Erstellen Ihrer Dienstprinzipalnamen
verwenden. Generell wird empfohlen, zum Erstellen von Dienstprinzipalnamen SetSPN S zu verwenden, da der Parameter -S nach einem doppelten Dienstprinzipalnamen
sucht, bevor der angegebene Dienstprinzipalname erstellt wird.
Wenn Sie in Ihrer Umgebung doppelte Dienstprinzipalnamen vermuten, rufen Sie den
Befehl SetSPN -X auf, um alle doppelten Dienstprinzipalnamen in Ihrer Umgebung
abzurufen (nur unter Windows 2008 und höher). Wenn Dienstprinzipalnamen
zurückgegeben werden, sollten Sie untersuchen, warum die Dienstprinzipalnamen
registriert wurden, und nicht benötigte Duplikate löschen. Wenn Sie zwei Dienste
haben, die mit zwei unterschiedlichen Identitäten ausgeführt werden, und beide
denselben Dienstprinzipalnamen nutzen, müssen Sie einen dieser Dienste entweder für
die Verwendung eines anderen Dienstprinzipalnamens konfigurieren oder beide eine
gemeinsame Dienstidentität verwenden lassen.
Wenn Sie vermuten, dass ein Dienstprinzipalname nicht bzw. nicht im erforderlichen
Format registriert wurde, können Sie den Befehl SetSPN -Q <Dienstprinzipalname
einfügen> aufrufen, um zu prüfen, ob ein bestimmter Dienstprinzipalname vorhanden ist.
252
Bekannte Kerberos-Konfigurationsprobleme (SharePoint Server 2010)
Maximale Größe des Kerberos-Tokens
In bestimmten Umgebungen sind Benutzer ggf. Mitglieder vieler Active DirectoryGruppen, wodurch sich die Größe ihrer Kerberos-Tickets erhöhen kann. Wenn die
Tickets zu groß werden, kann die Kerberos-Authentifizierung misslingen. Weitere
Informationen zum Anpassen der maximalen Tokengröße finden Sie unter Neue Lösung
für Probleme mit Kerberos-Authentifizierung, wenn Benutzer mehreren Gruppen
angehören (http://support.microsoft.com/kb/327825/de-de).
Hinweis:
Beachten Sie beim Anpassen der maximalen Tokengröße, dass bei Festlegung einer
maximalen Tokengröße über den Maximalwert der Registrierungseinstellung hinaus, es
ggf. zu Kerberos-Authentifizierungsfehlern kommt. Als maximale Tokengröße sollte
65535 (dezimal) bzw. FFFF (hexadezimal) nicht überschritten werden.
Hotfixes für die Kerberos-Authentifizierung
für Windows Server 2008 und Windows Vista
Kerberos-Authentifizierung misslingt bei Verwenden des AES-Algorithmus auf einem
Computer mit Windows Server 2008 oder Windows Vista mit dem Fehlercode
0X80090302 oder 0x8009030f (http://support.microsoft.com/kb/969083/de-de)
Sie müssen ggf. auf allen Computern mit Windows Server 2008 und Windows Vista in
Ihrer Umgebung einen Hotfix für die Kerberos-Authentifizierung installieren. Dazu
zählen alle Computer mit SharePoint Server 2010, SQL Server bzw. Windows
Server 2008, bei denen sich SharePoint Server mithilfe der Kerberos-Authentifizierung
authentifizieren möchte. Befolgen Sie die Anweisung auf der Supportseite zum
Anwenden des Hotfix, wenn die dokumentierten Symptome in Ihrer Umgebung
auftreten sollten.
253
Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte
Zurücksetzen des C2WTS-Kontos
(SharePoint Server 2010)
Veröffentlichung: 02.12.10
Szenario: Das C2WTS-Konto (Claims to Windows Token Service, Forderungen an den
Windows-Tokendienst) wird versehentlich geändert oder muss auf den Standardwert
zurückgesetzt werden.
Lösung
Der Forderungen an den Windows-Tokendienst (C2WTS) kann nicht mithilfe der
Zentraladministration auf das lokale Systemkonto zurückgesetzt werden. Die folgenden
Windows PowerShell-Cmdlets können zum Zurücksetzen des Forderungen an den
Windows-Tokendiensts (C2WTS) auf das lokale System verwendet werden.
Starten Sie die SharePoint-Verwaltungsshell auf dem Computer mit SharePoint Server.
Führen Sie das folgende Cmdlet aus, um eine Liste der Dienste anzuzeigen.
Get-SPServiceInstance
Suchen und kopieren Sie die ID des Forderungen an den Windows-Tokendiensts
(C2WTS). Klicken Sie mit der rechten Maustaste in das Windows PowerShell-Fenster,
und wählen Sie Markieren aus. Auf diese Weise können Sie die ID mit dem Mauscursor
auswählen und kopieren. Drücken Sie die EINGABETASTE auf der Tastatur, nachdem Sie
die ID hervorgehoben haben.
Testen Sie die ID durch Ausführen des folgenden Cmdlets.
254
Zurücksetzen des C2WTS-Kontos (SharePoint Server 2010)
Get-SPServiceInstance -identity <ID des Forderungen an den Windows-Tokendiensts
(C2WTS) einfügen>
Klicken Sie mit der rechten Maustaste in das PowerShell-Fenster, und fügen Sie die
zuvor kopierte ID ein.
Legen Sie im nächsten Schritt eine Variable fest, indem Sie das folgende Cmdlet
ausführen:
$claims = get-spserviceinstance -identity <ID des Forderungen an den WindowsTokendiensts (C2WTS) einfügen>
Führen Sie die folgenden Cmdlets aus, um C2WTS auf das lokale System zurückzusetzen:
$claims.Service.ProcessIdentity.CurrentIdentityType=0 // The 0 in the preceding
line is IdentityType.LocalSystem $claims.Service.ProcessIdentity.Update()
$claims.Service.ProcessIdentity.Deploy() $claims.Service.ProcessIdentity //
This output demonstrates that the cmdlet was successful CurrentIdentityType :
LocalSystem CurrentSecurityIdentifier : S-1-5-18 ManagedAccount : ProcessAccount
: S-1-5-18 Username : NT AUTHORITY\SYSTEM
255
Herunterladen