Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Microsoft Corporation Veröffentlichung: Juli 2010 Aktualisiert: April 2012 Autor: Tom Wisnowski. Mitwirkende: Philippe-Joseph Arida, Luca Bandinelli, Kevin Donovan, Pej Javaheri , Denny Lee, Cephas Lin, Dave Manning, Carl Rabeler, Prash Shirolkar, Norm Warren, Josh Zimmerman. ([email protected]) Zusammenfassung In diesem Dokument wird das Konzept der Identität in Microsoft SharePoint 2010Produkten erklärt. Die vorliegenden Informationen helfen Ihnen außerdem, zu verstehen, welche wichtige Rolle die Kerberos-Authentifizierung in Authentifizierungsund Delegierungsszenarien spielt und in welchen Situationen KerberosAuthentifizierung in Lösungsentwürfen verwendet werden sollte oder benötigt wird. Als Beispiele für entsprechende Szenarien dienen u. a. Business IntelligenceImplementierungen, die den Zugriff auf externe Datenquellen wie etwa SQL Server schützen. In diesem Dokument wird auch die durchgehende Konfiguration der KerberosAuthentifizierung in einer Umgebung erläutert, einschließlich Szenarien, in denen verschiedene Dienstanwendungen in Microsoft SharePoint Server verwendet werden. Zusätzliche Tools und Ressourcen werden beschrieben, die Ihnen beim Testen und Validieren der Kerberos-Konfiguration helfen. 1 Dieses Dokument wird wie besehen bereitgestellt. Die in diesem Dokument enthaltenen Informationen und Ansichten, einschließlich URLs und Verweise auf Internetwebsites, können ohne vorherige Ankündigung geändert werden. Das Risiko der Nutzung liegt bei Ihnen. Einige Beispiele sind frei erfunden, soweit nichts anderes angegeben ist. Jede Ähnlichkeit mit der Realität ist rein zufällig. Mit diesem Dokument werden keine Rechte an geistigem Eigentum an einem MicrosoftProdukt auf Sie übertragen. Sie sind berechtigt, dieses Dokument zu kopieren und für eigene interne Referenzzwecke zu nutzen. © 2010 Microsoft Corporation. Alle Rechte vorbehalten. Microsoft, Active Directory, Excel, Internet Explorer, Outlook, PerformancePoint, SharePoint, Windows und Windows PowerShell sind entweder eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern. Die in diesem Dokument enthaltenen Informationen stellen die behandelten Themen aus der Sicht der Microsoft Corporation zum Zeitpunkt der Veröffentlichung dar. Da Microsoft auf sich ändernde Marktanforderungen reagieren muss, stellt dies keine Verpflichtung seitens Microsoft dar, und Microsoft kann die Richtigkeit der hier dargelegten Informationen nach dem Zeitpunkt der Veröffentlichung nicht garantieren. 2 Inhaltsverzeichnis Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte ........ 7 Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (Übersicht).. 8 Wer sollte diese Artikel zur Kerberos-Authentifizierung lesen?............................. 9 Vom Anfang bis zum Ende ...................................................................................... 9 Upgrade von Office SharePoint Server 2007........................................................ 9 Schrittweise exemplarische Vorgehensweise ..................................................... 10 Vorhandene Umgebung mit SharePoint 2010-Produkten................................. 11 Identitätsszenarien in SharePoint 2010-Produkten ............................................... 11 Eingehende Identität ............................................................................................... 12 Identität in einer SharePoint 2010-Produkte-Umgebung .................................. 16 Ausgehende Identität .............................................................................................. 17 Delegierung über Domänen- und Gesamtstrukturgrenzen hinaus .................. 20 Einführung in Ansprüche ........................................................................................... 21 Einführung in das Kerberos-Protokoll ...................................................................... 21 Vorteile des Kerberos-Protokolls .............................................................................. 21 Kerberos-Delegierung, eingeschränkte Delegierung und Protokollübergang ... 22 Änderungen bei der Kerberos-Authentifizierung in Windows 2008 R2 und Windows 7 ................................................................................................................ 24 Änderungen bei der Kerberos-Konfiguration in SharePoint 2010-Produkten ... 24 Überlegungen beim Upgrade von Office SharePoint Server 2007 ..................... 25 Konfigurieren der Kerberos-Authentifizierung: Schritt-für-Schritt-Anleitung (SharePoint Server 2010) .......................................................................................... 26 Umgebung und Farmtopologie ................................................................................. 26 Spezifikation der Umgebung.................................................................................. 28 Spezifikation der Webanwendung ............................................................................ 29 SSL-Konfiguration ................................................................................................... 31 Lastenausgleich ....................................................................................................... 32 SQL--Aliasing .............................................................................................................. 32 SharePoint Server Services und Dienstkonten ...................................................... 33 Dienstidentität für den Forderungen an den Windows-Tokendienst (C2WTS) . 34 3 Tipps zum Durcharbeiten der Szenarien................................................................. 35 Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010) ................................................................................................................ 37 Checkliste für die Konfiguration ................................................................................ 38 Schrittweise Konfigurationsanweisungen ............................................................... 40 Konfigurieren von DNS ........................................................................................... 40 Konfigurieren von Active Directory ....................................................................... 41 Konfigurieren von SharePoint Server ................................................................... 52 IIS-Konfiguration ...................................................................................................... 60 Konfigurieren der Firewall ...................................................................................... 63 Testen der Browserauthentifizierung.................................................................... 65 Testen der Kerberos-Authentifizierung über SSL............................................... 79 Testen von SharePoint Server-Suchindex und -abfrage................................... 80 Testen der Front-End-Webserverdelegierung .................................................... 83 Kerberos-Authentifizierung für SQL OLTP (SharePoint Server 2010)................... 86 Checkliste für die Konfiguration ................................................................................ 87 Details der Szenarioumgebung ................................................................................ 88 Schrittweise Konfigurationsanweisungen ............................................................... 88 Konfigurieren von DNS ........................................................................................... 88 Konfigurieren von Active Directory ....................................................................... 89 Überprüfen der SQL Server-Kerberos-Konfiguration......................................... 90 Erstellen einer SQL Server-Testdatenbank sowie einer Testtabelle............... 92 Kerberos-Authentifizierung für SQL Server Analysis Services (SharePoint Server 2010) ............................................................................................................................. 94 Checkliste für die Konfiguration ................................................................................ 94 Schrittweise Konfigurationsanweisungen ............................................................... 95 Konfigurieren von Active Directory ....................................................................... 95 Überprüfen der SQL Server-Kerberos-Konfiguration......................................... 96 Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010) ............................................................................................................................. 99 Voraussetzungen für dieses Szenario ................................................................... 100 Checkliste für die Konfiguration .............................................................................. 100 Details der Szenarioumgebung .............................................................................. 101 4 Domänenübergreifende Kerberos-Delegierung ................................................... 101 Schrittweise Konfigurationsanweisungen ............................................................. 102 Konfigurieren von DNS ......................................................................................... 102 Active Directory-Verzeichnisdienst ..................................................................... 103 SQL Server Reporting Services .......................................................................... 110 Konfigurieren von SharePoint Server ................................................................. 112 Überprüfen der Konfiguration .............................................................................. 115 SSL-Konfiguration für Reporting Services ............................................................ 127 Identitätsdelegierung für Excel Services (SharePoint Server 2010) .................... 130 Voraussetzungen für dieses Szenario ................................................................... 130 Checkliste für die Konfiguration .............................................................................. 130 Details der Szenarioumgebung ........................................................................... 132 Logische SharePoint Server-Authentifizierung ................................................. 133 Schrittweise Konfigurationsanweisungen ............................................................. 134 Active Directory-Konfiguration ............................................................................. 134 SharePoint Server-Konfiguration ........................................................................ 140 Überprüfen der eingeschränkten Excel Services-Delegierung ...................... 152 Identitätsdelegierung für PowerPivot für SharePoint 2010 (SharePoint Server 2010) ........................................................................................................................... 158 Szenarien, in denen die Kerberos-Authentifizierung erforderlich ist ................. 159 Voraussetzungen für dieses Szenario ................................................................... 161 Konfigurationsanweisungen .................................................................................... 161 Identitätsdelegierung für Visio Services (SharePoint Server 2010) ..................... 162 Voraussetzungen für dieses Szenario ................................................................... 162 Checkliste für die Konfiguration .............................................................................. 162 Details der Szenarioumgebung .............................................................................. 164 Pfade der eingeschränkten Kerberos-Delegierung .......................................... 164 Logische SharePoint Server-Authentifizierung ................................................. 164 Schrittweise Konfigurationsanweisungen ............................................................. 165 Active Directory-Konfiguration ............................................................................. 165 SharePoint Server-Konfiguration ........................................................................ 171 Überprüfen der eingeschränkten Delegierung für den Visio-Grafikdienst .... 179 Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010) ..................................................................................................................................... 191 5 Voraussetzungen für dieses Szenario ................................................................... 191 Checkliste für die Konfiguration .............................................................................. 192 Details der Szenarioumgebung .............................................................................. 193 Pfade der eingeschränkten Kerberos-Delegierung .......................................... 193 Logische SharePoint Server-Authentifizierung ................................................. 194 Schrittweise Konfigurationsanweisungen ............................................................. 195 Active Directory-Konfiguration ............................................................................. 195 SharePoint Server-Konfiguration ........................................................................ 201 Überprüfen der eingeschränkten PerformancePoint Services-Delegierung 215 Identitätsdelegierung für Business Connectivity Services (SharePoint Server 2010) ........................................................................................................................... 222 Voraussetzungen für dieses Szenario ................................................................... 223 Checkliste für die Konfiguration .............................................................................. 223 Details der Szenarioumgebung .............................................................................. 224 Schrittweise Konfigurationsanweisungen ............................................................. 224 Active Directory-Konfiguration ............................................................................. 224 SharePoint Server-Konfiguration ........................................................................ 230 Überprüfung ........................................................................................................... 232 Bekannte Kerberos-Konfigurationsprobleme (SharePoint Server 2010)............. 247 Kerberos-Authentifizierung und Nicht-Standardports.......................................... 247 Kerberos-Authentifizierung und DNS CNAMEs ................................................... 249 Kerberos- und Kernelmodusauthentifizierung ...................................................... 250 Kerberos- und sitzungsbasierte Authentifizierung ............................................... 251 Kerberos-Authentifizierung und Probleme mit doppelten/fehlenden Dienstprinzipalnamen ........................................................................................... 252 Maximale Größe des Kerberos-Tokens ................................................................ 253 Hotfixes für die Kerberos-Authentifizierung für Windows Server 2008 und Windows Vista ....................................................................................................... 253 Zurücksetzen des C2WTS-Kontos (SharePoint Server 2010) .............................. 254 Lösung ........................................................................................................................ 254 6 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Konfigurieren der KerberosAuthentifizierung für SharePoint 2010Produkte Veröffentlichung: 15.07.10 In diesem Dokument wird das Konzept der Identität in Microsoft SharePoint 2010Produkten erklärt. Die vorliegenden Informationen helfen Ihnen außerdem, zu verstehen, welche wichtige Rolle die Kerberos-Authentifizierung in Authentifizierungsund Delegierungsszenarien spielt und in welchen Situationen KerberosAuthentifizierung in Lösungsentwürfen verwendet werden sollte oder benötigt wird. Als Beispiele für entsprechende Szenarien dienen u. a. Business IntelligenceImplementierungen, die den Zugriff auf externe Datenquellen wie etwa SQL Server schützen. In diesem Dokument wird auch die durchgehende Konfiguration der KerberosAuthentifizierung in einer Umgebung erläutert, einschließlich Szenarien, in denen verschiedene Dienstanwendungen in Microsoft SharePoint Server verwendet werden. Zusätzliche Tools und Ressourcen werden beschrieben, die Ihnen beim Testen und Validieren der Kerberos-Konfiguration helfen. In den Abschnitten „Schrittweise Konfiguration“ in diesem Dokument werden die folgenden Szenarien für SharePoint Server 2010 behandelt. Szenario 1: Kernkonfiguration Szenario 2: Kerberos-Authentifizierung für SQL OLTP Szenario 3: Szenario 3: Identitätsdelegierung für SQL Analysis Services Szenario 4: Identitätsdelegierung für SQL Reporting Services Szenario 5: Identitätsdelegierung für Excel Services Szenario 6: Identitätsdelegierung für PowerPivot für SharePoint 2010 Szenario 7: Identitätsdelegierung für Visio Services Szenario 8: Identitätsdelegierung für PerformancePoint Services Szenario 9: Identitätsdelegierung für Business Connectivity Services 7 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Dieselben Information zur Konfiguration der Kerberos-Authentifizierung für SharePoint 2010-Produkte finden Sie in der TechNet-Bibliothek in Form einer Artikelgruppe, die hier beginnt: Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (Übersicht). Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (Übersicht) Veröffentlichung: 02.12.10 In Microsoft SharePoint 2010-Produkten gibt es wichtige Verbesserungen beim Verwalten der Identität in der Plattform. Sie müssen unbedingt wissen, wie sich diese Änderungen auf den Lösungsentwurf und die Plattformkonfiguration auswirken, um Szenarien zu ermöglichen, in denen die Benutzeridentität an integrierte Systeme delegiert werden muss. Das Kerberos 5-Protokoll spielt eine wichtige Rolle, um die Delegierung zu ermöglichen, und ist für diese Szenarien möglicherweise notwendig. In dieser Artikelfolge finden Sie Informationen zu folgenden Themen: Grundlegendes zum Identitätskonzept in SharePoint 2010-Produkten Informationen zur wichtigen Rolle der Kerberos-Authentifizierung in Authentifizierungs- und Delegierungsszenarien Identifizieren der Situationen, in denen die Kerberos-Authentifizierung in Lösungsentwürfen verwendet werden sollte oder benötigt wird Durchgängiges Konfigurieren der Kerberos-Authentifizierung in einer Umgebung, einschließlich Szenarien, in denen verschiedene Dienstanwendungen in SharePoint Server verwendet werden Testen und Überprüfen, ob die Kerberos-Authentifizierung ordnungsgemäß konfiguriert ist und erwartungsgemäß ausgeführt wird Suchen nach zusätzlichen Tools und Ressourcen zum Konfigurieren der KerberosAuthentifizierung in Ihrer Umgebung Diese Artikelfolge ist in zwei Hauptabschnitte unterteilt: Diese Übersicht über die Kerberos-Authentifizierung in SharePoint 2010-Produkten 8 Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (Übersicht) Dieser Artikel enthält konzeptionelle Informationen zum Verwalten der Identität in SharePoint 2010, zum Kerberos-Protokoll sowie zur wichtigen Rolle der KerberosAuthentifizierung in SharePoint 2010-Lösungen. Schritt-für-Schritt-Anleitung für die Konfiguration In dieser Artikelfolge werden die erforderlichen Schritte zum Konfigurieren der Kerberos-Authentifizierung und -Delegierung in verschiedenen SharePointLösungsszenarien behandelt. Wer sollte diese Artikel zur KerberosAuthentifizierung lesen? Identität und Delegierung nehmen in SharePoint 2010-Produkten einen wichtigen Platz ein und weisen viele Facetten und Bedeutungen auf. In dieser Artikelfolge werden die konzeptionellen und technischen Aspekte dieses Themas erläutert, wobei die Anforderungen verschiedener Zielgruppen berücksichtigt werden: Vom Anfang bis zum Ende „Ich möchte alles über Identität und die Kerberos-Authentifizierung in SharePoint 2010Produkten wissen“ Wenn Sie sich gerade erst mit den SharePoint 2010-Produkten, der KerberosAuthentifizierung und der anspruchsbasierten Authentifizierung vertraut machen, sollten Sie den ersten Abschnitt dieses Dokuments lesen. Hier werden die grundlegenden Konzepte der Identität und Delegierung behandelt und die anspruchsbasierte Authentifizierung und die Kerberos-Authentifizierung vorgestellt. Folgen Sie unbedingt den Links zu externen Artikeln und zusätzlichen Informationen, um sich gründlich zu informieren, bevor Sie mit den Artikeln zur schrittweisen Konfiguration fortfahren. Upgrade von Office SharePoint Server 2007 „Ich möchte wissen, was sich seit der Version 2007 geändert hat und worauf ich mich beim Upgrade auf die Version 2010 vorbereiten sollte“ Wenn Sie über eine vorhandene Microsoft Office SharePoint Server 2007-Umgebung verfügen, für die bereits die Kerberos-Authentifizierung und Kerberos-Delegierung konfiguriert ist, sollten Sie die folgenden Abschnitte lesen: 9 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Identitätsszenarien in SharePoint 2010-Produkten Einführung in Ansprüche Änderungen bei der Kerberos-Authentifizierung in Windows 2008 R2 und Windows 7 Änderungen bei der Kerberos-Konfiguration in SharePoint 2010-Produkten Überlegungen beim Upgrade von Office SharePoint Server 2007 Falls Sie zusätzliche Fragen zur Konfigurationsdelegierung für ein bestimmtes Feature oder Szenario haben, sollten Sie die Artikel zur schrittweisen Konfiguration lesen, insbesondere die Konfigurationsprüflisten. Dadurch können Sie sicherstellen, dass Ihre Umgebung nach dem Upgrade ordnungsgemäß konfiguriert ist. Schrittweise exemplarische Vorgehensweise „Ich wünsche ausführliche schrittweise Anleitungen zum Konfigurieren der KerberosDelegierung in SharePoint Server und entsprechenden SharePoint ServerDienstanwendungen“ In den Artikeln zur schrittweisen Konfiguration werden mehrere Szenarien mit SharePoint 2010-Produkten behandelt, für die die Verwendung der KerberosDelegierung konfiguriert werden kann. Jedes Szenario wird ausführlich erörtert, einschließlich einer Konfigurationsprüfliste und schrittweiser Anleitungen, damit Sie die Kerberos-Authentifizierung in Ihrer Umgebung erfolgreich konfigurieren können. Die folgenden Szenarien werden behandelt: Szenario 1: Kernkonfiguration Szenario 2: Kerberos-Authentifizierung für SQL OLTP Szenario 3: Kerberos-Authentifizierung für SQL Server Analysis Services Szenario 4: Identitätsdelegierung für SQL Server Reporting Services Szenario 5: Identitätsdelegierung für Excel Services Szenario 6: Identitätsdelegierung für PowerPivot für SharePoint 2010 Szenario 7: Identitätsdelegierung für Visio Services Szenario 8: Identitätsdelegierung für PerformancePoint Services Szenario 9: Identitätsdelegierung für Business Connectivity Services 10 Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (Übersicht) Lesen Sie das erste Kernkonfigurationsszenario unbedingt gründlich durch, da alle nachfolgenden Szenarien darauf aufbauen. Hinweis Die Szenarien enthalten SetSPN-Befehle, die Sie in diesem Dokument kopieren und in einem Eingabeaufforderungsfenster einfügen können. Diese Befehle enthalten Bindestriche. In Microsoft Word gibt es ein AutoFormat-Feature, mit dem Bindestriche normalerweise in Gedankenstriche konvertiert werden. Falls dieses Feature in Word aktiviert ist und Sie dann einen Vorgang zum Kopieren und Einfügen ausführen, werden die Befehle nicht ordnungsgemäß ausgeführt. Ändern Sie die Gedankenstriche in Bindestriche, um diesen Fehler zu beheben. Zum Deaktivieren des AutoFormat-Features in Word klicken Sie im Menü Datei auf Optionen, klicken Sie auf die Registerkarte Dokumentprüfung, und öffnen Sie dann das Dialogfeld AutoKorrektur. Vorhandene Umgebung mit SharePoint 2010-Produkten „Ich verfüge über eine vorhandene Umgebung mit SharePoint 2010-Produkten, und die Kerberos-Authentifizierung wird nicht ordnungsgemäß ausgeführt. Wie kann ich die Konfiguration überprüfen und debuggen?“ In den Artikeln unter Schrittweise Konfiguration finden Sie mehrere Prüflisten zum Auswählen Ihrer Umgebung in verschiedenen Szenarien. Beachten Sie insbesondere Szenario 1, Kernkonfiguration, in dem grundlegende Tools und Techniken zum Selektieren der Kerberos-Konfiguration behandelt werden. Identitätsszenarien in SharePoint 2010Produkten Wenn Sie sich mit dem Konzept der Identität im Zusammenhang mit der Authentifizierung in SharePoint Server-Produkten vertraut machen, können Sie sich in den folgenden drei wichtigen Szenarien anschauen, wie die Identität von der Plattform behandelt wird: eingehende Authentifizierung, Authentifizierung innerhalb und zwischen Farmen sowie ausgehende Authentifizierung. 11 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Clients SharePoint Farm Classic (Windows Auth) External System Classic (Windows Auth) Claims Claims Incoming Authentication Claims Intra/Inter Farm Authentication Outgoing Authentiction Eingehende Identität Im Szenario für die eingehende Authentifizierung wird veranschaulicht, wie ein Client die Identität gegenüber der Plattform präsentiert oder anders ausgedrückt für die Webanwendung oder den Webdienst authentifiziert wird. SharePoint Server autorisiert mithilfe der Identität des Clients dessen Zugriff auf mit SharePoint Server gesicherte Ressourcen, wie beispielsweise Webseiten, Dokumente usw. SharePoint Server 2010-Produkte unterstützen zwei Modi zum Authentifizieren eines Clients für die Plattform, nämlich den klassischen Modus und den anspruchsbasierten Modus. Klassischer Modus Der klassische Modus ermöglicht die typischen IIS-Authentifizierungsmethoden (Internetinformationsdienste, Internet Information Services), mit denen Sie möglicherweise bereits aus früheren Versionen von SharePoint Server vertraut sind. Wenn für eine SharePoint Server 2010-Webanwendung die Verwendung des klassischen Modus konfiguriert ist, können Sie die folgenden IIS-Authentifizierungsmethoden verwenden: Integrierte Windows-Authentifizierung Mit der integrierten Windows-Authentifizierung können Windows-Clients nahtlos mit SharePoint Server authentifiziert werden, ohne dass Anmeldeinformationen (Benutzername/Kennwort) manuell bereitgestellt werden müssen. Benutzer, die über das Internet Explorer auf SharePoint Server zugreifen, authentifizieren sich anhand der Anmeldeinformationen, unter denen der Internet Explorer-Prozess ausgeführt wird. 12 Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (Übersicht) Dies sind standardmäßig die Anmeldeinformationen, mit denen sich der Benutzer am Desktop angemeldet hat. Dienste oder Anwendungen, die im integrierten WindowsAuthentifizierungsmodus auf SharePoint Server zugreifen, versuchen sich mit den Anmeldeinformationen des ausgeführten Threads anzumelden, der standardmäßig der Identität des Prozesses entspricht. NTLM Der NT-LAN-Manager (NTLM) ist der Standardprotokolltyp, wenn die integrierte Windows-Authentifizierung ausgewählt ist. Dieses Protokoll nutzt eine dreiteilige Abfrage/Rückmeldung-Sequenz zum Authentifizieren von Clients. Weitere Informationen zu NTLM finden Sie unter Microsoft NTLM (http://go.microsoft.com/fwlink/?LinkId=196643&clcid=0x407). Vorteile Dieses Protokoll ist einfach zu konfigurieren und erfordert in der Regel keine zusätzliche Konfiguration der Infrastruktur oder Umgebung. Es kann verwendet werden, wenn der Client nicht der Domäne angehört oder wenn er sich nicht in einer Domäne befindet, die für die Domäne, in der sich SharePoint Server befindet, vertrauenswürdig ist. Nachteile: SharePoint Server muss den Domänencontroller jedes Mal kontaktieren, wenn eine Clientauthentifizierungsantwort überprüft werden muss, wodurch der Datenverkehr auf den Domänencontrollern zunimmt. Die Delegierung von Clientanmeldeinformationen an die Back-End-Systeme ist nicht zulässig, was auch als Doppel-Hop-Regel bezeichnet wird. Es handelt sich hierbei um ein geschütztes Protokoll. Es handelt sich hierbei um ein geschütztes Protokoll. Die Serverauthentifizierung wird nicht unterstützt. Es gilt als nicht so sicher wie die Kerberos-Authentifizierung. Kerberos-Protokoll Bei Kerberos handelt es sich um ein sichereres Protokoll, das das AuthentifizierungsTicketing unterstützt. Ein Kerberos-Authentifizierungsserver erteilt ein Ticket als Antwort auf eine Authentifizierungsanforderung eines Clientcomputers, falls die Anforderung 13 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte gültige Benutzeranmeldeinformationen und einen gültigen Dienstprinzipalnamen (Service Principal Name, SPN) enthält. Der Clientcomputer verwendet das Ticket für den Zugriff auf Netzwerkressourcen. Damit Kerberos-Authentifizierung unterstützt wird, müssen der Client- und der Servercomputer über eine vertrauenswürdige Verbindung zum Schlüsselverteilungscenter (Key Distribution Center, KDC) der Domäne verfügen. Das KDC verteilt freigegebene geheime Schlüssel, um die Verschlüsselung zu ermöglichen. Darüber hinaus müssen Client- und Servercomputer auf Active DirectoryVerzeichnisdienste (Active Directory Domain Services, AD DS) zugreifen können. Für AD DS ist die Gesamtstruktur-Stammdomäne das Zentrum für KerberosAuthentifizierungsverweise. Weitere Informationen zum Kerberos-Protokoll finden Sie unter Funktionsweise des Kerberos 5-Authentifizierungsprotokolls (http://go.microsoft.com/fwlink/?LinkId=196644&clcid=0x407) und Microsoft Kerberos. (http://go.microsoft.com/fwlink/?LinkId=196645&clcid=0x407) Vorteile Sicherstes Protokoll für die integrierte Windows-Authentifizierung Ermöglicht die Delegierung von Clientanmeldeinformationen Unterstützt die gegenseitige Authentifizierung von Clients und Servern Erzeugt weniger Datenverkehr auf den Domänencontrollern Offenes Protokoll, das von vielen Plattformen und Herstellern unterstützt wird Nachteile: Erfordert die zusätzliche Konfiguration von Infrastruktur und Umgebung Die Clients müssen mit dem KDC (Active Directory-Domänencontroller in WindowsUmgebungen) über den TCP/UDP-Port 88 (Kerberos) bzw. den TCP/UDP-Port 464 (Kerberos – Kennwort ändern – Windows) verbunden sein Andere Methoden Neben der NTLM- und Kerberos-Authentifizierung unterstützt SharePoint Server weitere IIS-Authentifizierungsmethoden wie beispielsweise die Standardauthentifizierung, die Digestauthentifizierung und die zertifikatbasierte Authentifizierung, die in diesem Dokument nicht behandelt werden. Weitere Informationen zur Funktionsweise dieser Protokolle finden Sie unter In IIS 6.0 unterstützte Authentifizierungsmethoden (IIS 6.0) (http://go.microsoft.com/fwlink/?linkid=196646&clcid=0x407). 14 Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (Übersicht) Anspruchsbasierte Authentifizierung Die Unterstützung der anspruchsbasierten Authentifizierung ist ein neues Feature in SharePoint 2010-Produkten und basiert auf Windows Identity Foundation (WIF). Bei einem Anspruchsmodell akzeptiert SharePoint Server einen oder mehrere Ansprüche zu einem authentifizierenden Client, um den Client zu identifizieren und autorisieren. Die Ansprüche liegen als SAML-Token vor und stellen Fakten zu dem Client dar, die von einer vertrauenswürdigen Zertifizierungsstelle präsentiert werden. Beispielsweise könnte in einem Anspruch Folgendes angegeben sein: „Paul ist Mitglied der Gruppe „Organisations-Admins“ für die Domäne „Contoso.com“. Wenn dieser Anspruch von einem Anbieter stammt, dem SharePoint Server vertraut, könnte die Plattform anhand dieser Informationen Paul authentifizieren und ihm den Zugriff auf SharePoint ServerRessourcen erlauben. Weitere Informationen zur anspruchsbasierten Authentifizierung finden Sie unter Handbuch zur anspruchsbasierten Identitäts- und Zugriffssteuerung (http://go.microsoft.com/fwlink/?linkid=187911&clcid=0x407). Von SharePoint 2010-Produkten werden für die eingehende Authentifizierung die folgenden Ansprüche unterstützt: Windows-Ansprüche, formularbasierte Authentifizierungsansprüche sowie SAML-Ansprüche. Windows-Ansprüche Im Windows-Anspruchsmodus wird der Client von SharePoint Server mithilfe der standardmäßigen integrierten Windows-Authentifizierung (NTLM/Kerberos) authentifiziert, und anschließend wird die resultierende Windows-Identität in eine Anspruchsidentität umgewandelt. Formularbasierte Authentifizierungsansprüche Im formularbasierten Authentifizierungsanspruchsmodus wird der Client von SharePoint Server an eine Anmeldeseite umgeleitet, auf der die standardmäßigen ASP.NETAnmeldesteuerelemente gehostet werden. Auf dieser Seite wird der Client mithilfe der ASP.NET-Mitgliedschafts- und Rollenanbieter authentifiziert, ähnlich wie bei der formularbasierten Authentifizierung in Office SharePoint Server 2007. Nachdem das Identitätsobjekt, das den Benutzer repräsentiert, erstellt wurde, wird diese Identität von SharePoint Server in ein Anspruchsidentitätsobjekt umgewandelt. SAML-Ansprüche Im SAML-Anspruchsmodus akzeptiert SharePoint Server SAML-Token von einem vertrauenswürdigen externen Sicherheitstokenanbieter (Security Token Provider, STS). Wenn sich der Benutzer anzumelden versucht, wird er an einen externen 15 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Anspruchsanbieter (z. B. den Windows Live ID-Anspruchsanbieter) umgeleitet, der den Benutzer authentifiziert und ein SAML-Token erstellt. SharePoint Server akzeptiert und verarbeitet dieses Token, wobei die Ansprüche erweitert werden und ein Anspruchsidentitätsobjekt für den Benutzer erstellt wird. Weitere Informationen zur anspruchsbasierten Authentifizierung in SharePoint 2010Produkten finden Sie unter Anspruchsbasierte Identität in SharePoint. Hinweis zur eingehenden Anspruchsauthentifizierung und zu C2WTS Für einige Dienstanwendungen müssen Sie C2WTS (Claims to Windows Token Service, Forderungen an den Windows-Tokendienst) von Windows Identity Foundation (WIF) verwenden, um Ansprüche innerhalb der Farm in Windows-Anmeldeinformationen für die ausgehende Authentifizierung zu transformieren. Es ist wichtig zu wissen, dass C2WTS nur ausgeführt wird, wenn als eingehende Authentifizierungsmethode entweder der klassische Authentifizierungsmodus oder die anspruchsbasierte WindowsAuthentifizierung verwendet wird. Wenn die anspruchsbasierte Authentifizierung konfiguriert ist, benötigt C2WTS nur Windows-Ansprüche; von der Webanwendung können nicht mehrere Anspruchsformen in der Webanwendung verwendet werden, da andernfalls C2WTS nicht ausgeführt wird. Identität in einer SharePoint 2010-Produkte-Umgebung SharePoint 2010-Umgebungen verwenden die anspruchsbasierte Authentifizierung für die Kommunikation innerhalb und zwischen Farmen für die meisten SharePointDienstanwendungen und integrierten SharePoint-Produkte unabhängig vom verwendeten eingehenden Authentifizierungsmechanismus. Dies bedeutet, dass selbst bei Verwendung der klassischen Authentifizierung zum Authentifizieren mit einer bestimmten Webanwendung die eingehende Identität von SharePoint-Produkten in eine anspruchsbasierte Identität konvertiert wird, um die Authentifizierung mit SharePoint-Dienstanwendungen und -Produkten zu ermöglichen, von denen Ansprüche unterstützt werden. Durch die Standardisierung des Anspruchsmodells für die Kommunikation innerhalb und zwischen Farmen wird die Plattform von den verwendeten eingehenden Protokollen unabhängig. 16 Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (Übersicht) Hinweis: Einige in SharePoint Server integrierte Produkte, wie beispielsweise SQL Server Reporting Services, unterstützen keine Ansprüche und nutzen die Architektur der anspruchsbasierten Authentifizierung zwischen Farmen nicht. SharePoint Server nutzt möglicherweise auch die klassische Kerberos-Delegierung und Ansprüche in anderen Szenarien. Beispielsweise, wenn für das RSS-Anzeige-Webpart die Verwendung eines authentifizierten Feeds konfiguriert ist. Bestimmen Sie anhand der Dokumentation des jeweiligen Produkts oder der jeweiligen Dienstanwendung, ob die anspruchsbasierte Authentifizierung und die Identitätsdelegierung unterstützt werden. Ausgehende Identität Die ausgehende Identität in SharePoint 2010-Produkten repräsentiert jene Szenarien, in denen Dienste innerhalb der Farm bei externen Branchensystemen und -diensten authentifiziert werden müssen. In Abhängigkeit vom jeweiligen Szenario kann die Authentifizierung in einem von zwei grundlegenden Modellen ausgeführt werden: Vertrauenswürdiges Subsystem Beim vertrauenswürdigen Subsystem führt der Front-End-Dienst die Authentifizierung und Autorisierung des Clients aus und führt anschließend die Authentifizierung bei zusätzlichen Back-End-Diensten aus, ohne die Clientidentität an das Back-End-System zu übergeben. Das Back-End-System vertraut dem Front-End-Dienst bei der Durchführung der Authentifizierung und Autorisierung in seinem Namen. Die gängigste Methode zum Implementieren dieses Modells ist das Authentifizieren beim externen System mithilfe eines freigegebenen Dienstkontos: 17 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Trusted Subsystem Service Service Account Account Client Client LoB LoB System System SharePoint WFE Authorization boundary In SharePoint Server gibt es für die Implementierung dieses Modells verschiedene Methoden: Mithilfe der IIS-Anwendungspoolidentität – gewöhnlich wird dabei Code in der Webanwendung ausgeführt, mit dem die Berechtigungen erhöht werden, während ein externes System aufgerufen wird. Andere Methoden wie beispielsweise RevertToSelf können ebenfalls die Anwendungspoolidentität zum Authentifizieren bei externen Systemen verwenden. Mithilfe eines Dienstkontos – gewöhnlich werden dabei Anmeldeinformationen der Anwendung im Secure Store Service gespeichert, die dann zum Authentifizieren bei einem externen System verwendet werden. Eine weitere Methode ist das Speichern der Anmeldeinformationen des Dienstkontos auf andere Weise, wie beispielsweise als eingebettete Verbindungszeichenfolgen. Anonyme Authentifizierung – hierbei erfordert das externe System keine Authentifizierung. Deshalb muss der SharePoint Server-Front-End-Dienst keine Identität an das Back-End-System übergeben. Delegierung Beim Delegierungsmodell authentifiziert der Front-End-Dienst zunächst den Client und nimmt dann mithilfe der Identität des Clients eine Authentifizierung bei einem anderen Back-End-System vor, das eine eigene Authentifizierung und Autorisierung durchführt: 18 Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (Übersicht) Delegation Client Client Client Client Authorization boundary LoB LoB System System SharePoint WFE Authorization boundary In SharePoint 2010-Produkten gibt es für die Implementierung dieses Modells verschiedene Methoden: Kerberos-Delegierung – wenn sich der Client mithilfe der Kerberos-Authentifizierung beim Front-End-Dienst authentifiziert, kann mit der Kerberos-Delegierung die Identität des Clients an das Back-End-System übergeben werden. Ansprüche – mit der anspruchsbasierten Authentifizierung können die Ansprüche des Clients zwischen Diensten übergeben werden, vorausgesetzt es besteht eine Vertrauensstellung zwischen den beiden Diensten, und beide Dienste unterstützen Ansprüche. Hinweis: Derzeit erlauben die meisten in SharePoint Server enthaltenen Dienstanwendungen die ausgehende Anspruchsauthentifizierung nicht, jedoch wird dies in Zukunft von dieser Plattform unterstützt werden. Darüber hinaus unterstützen viele gängige Branchensysteme heutzutage nicht die eingehende Anspruchsauthentifizierung. Dies bedeutet, dass die ausgehende Anspruchsauthentifizierung möglicherweise nicht verwendet werden kann oder zusätzliche Entwicklungsarbeit erfordert, damit sie ordnungsgemäß ausgeführt wird. 19 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Delegierung über Domänen- und Gesamtstrukturgrenzen hinaus Für die Szenarien in dieser Artikelfolge zur Kerberos-Authentifizierung müssen sich der SharePoint Server-Dienst und externe Datenquellen in derselben Windows-Domäne befinden, um die eingeschränkte Kerberos-Delegierung zu ermöglichen. Das KerberosProtokoll unterstützt zwei Delegierungsarten, nämlich die Standarddelegierung (uneingeschränkt) und die eingeschränkte Delegierung. Die KerberosStandarddelegierung ist über Domänengrenzen in einer einzelnen Gesamtstruktur hinweg möglich, was jedoch bei einer Gesamtstrukturgrenze unabhängig von der Vertrauensstellung nicht der Fall ist. Die eingeschränkte Kerberos-Delegierung ist über Domänen- oder Gesamtstrukturgrenzen hinweg für kein Szenario möglich. Für einige SharePoint Server-Dienste kann die Verwendung der KerberosStandarddelegierung konfiguriert werden, aber für andere Dienste muss die eingeschränkte Delegierung verwendet werden. Jeder Dienst, der auf C2WTS (Claims to Windows Token Service, Forderungen an den Windows-Tokendienst) basiert, muss die eingeschränkte Kerberos-Delegierung verwenden, damit C2WTS mithilfe des KerberosProtokollübergangs Ansprüche in Windows-Anmeldeinformationen transformieren kann. Für die folgenden Dienstanwendungen und Produkte sind C2WTS und die eingeschränkte Kerberos-Delegierung erforderlich: Excel Services PerformancePoint-Dienste Visio Services Die folgenden Dienstanwendungen und Produkte sind von diesen Anforderungen nicht betroffen, weshalb bei Bedarf die Standarddelegierung verwendet werden kann: Business Data Connectivity-Dienst und Microsoft Business Connectivity Services InfoPath Forms Services Access Services Microsoft SQL Server Reporting Services (SSRS) Microsoft Project Server 2010 20 Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (Übersicht) Die folgende Dienstanwendung erlaubt die Delegierung von Clientanmeldeinformationen nicht und ist deshalb von diesen Anforderungen nicht betroffen: Microsoft SQL Server PowerPivot für Microsoft SharePoint Einführung in Ansprüche Eine Einführung in die Konzepte von Ansprüchen und in die anspruchsbasierte Authentifizierung finden Sie unter Einführung in Ansprüche (http://go.microsoft.com/fwlink/?linkid=196648&clcid=0x407) und Anspruchsbasierte Identität in SharePoint (http://go.microsoft.com/fwlink/?linkid=196647&clcid=0x407). Einführung in das Kerberos-Protokoll Eine Übersicht über die Funktionsweise des Kerberos-Protokolls finden Sie unter Microsoft Kerberos (Windows) (http://go.microsoft.com/fwlink/?linkid=196645&clcid=0x407), Erläuterungen zu Kerberos (http://go.microsoft.com/fwlink/?linkid=196649&clcid=0x407) und Ask the Directory Services Team: Kerberos for the Busy Admin (http://go.microsoft.com/fwlink/?linkid=196650&clcid=0x407). Vorteile des Kerberos-Protokolls Bevor wir uns mit den Details der Konfiguration von SharePoint Server (oder einer beliebigen Webanwendung) für die Verwendung des Kerberos-Protokolls befassen, betrachten wir erst einmal das Kerberos-Protokoll und dessen Verwendung. In der Regel gibt es drei Hauptgründe für die Verwendung des Kerberos-Protokolls: 1. Delegierung von Clientanmeldeinformationen – Mit dem Kerberos-Protokoll kann die Identität eines Clients von einem Dienst angenommen werden, damit dieser Dienst die Identität an andere Netzwerkdienste im Namen des Clients übergeben kann. Bei NTLM ist diese Delegierung nicht zulässig. (Diese Begrenzung in NTLM wird als „Doppel-Hop-Regel“ bezeichnet). Die anspruchsbasierte Authentifizierung, wie die Kerberos-Authentifizierung, kann zum Delegieren von Clientanmeldeinformationen verwendet werden, aber die Back-End-Anwendung muss Ansprüche unterstützen. 2. Sicherheit – Aufgrund von Features wie beispielsweise AES-Verschlüsselung, gegenseitiger Authentifizierung, Unterstützung von Datenintegrität und Datenschutz ist das Kerberos-Protokoll sicherer als sein NTLM-Pendant. 21 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 3. Potenziell bessere Leistung – Die Kerberos-Authentifizierung erfordert im Vergleich zu NTLM weniger Datenverkehr auf den Domänencontrollern (in Abhängigkeit von der PAC-Verifizierung, siehe Microsoft Open Specification Support Team Blog: Understanding Microsoft Kerberos PAC Validation). Falls die PACVerifizierung deaktiviert oder nicht erforderlich ist, muss der Dienst, der den Client authentifiziert, keinen Remoteprozeduraufruf für den Domänencontroller ausführen (siehe Verzögerte Benutzerauthentifizierung bei der Ausführung eines Serverprogramms mit hohem Datenverkehrsaufkommen auf einem Domänenmitglied in Windows 2000 oder Windows Server 2003). Die Kerberos-Authentifizierung erfordert außerdem im Vergleich zu NTLM weniger Datenverkehr zwischen Client und Server. Clients können im Vergleich zum typischen dreistufigen Handshake von NTLM in zwei Anforderungen/Antworten bei Webservern authentifiziert werden. Diese Verbesserung macht sich jedoch in der Regel in Netzwerken mit geringen Wartezeiten auf Transaktionsbasis nicht bemerkbar, jedoch sehr wohl beim allgemeinen Durchsatz des Systems. Beachten Sie, dass viele Umgebungsfaktoren die Authentifizierungsleistung beeinflussen können. Deshalb sollten Sie die Leistung von Kerberos-Authentifizierung und NTLM in Ihrer eigenen Umgebung testen, bevor Sie sich für eine Methode entscheiden. Dies ist eine unvollständige Liste der Vorteile des Kerberos-Protokolls. Es gibt andere Gründe, wie beispielsweise die gegenseitige Authentifizierung, die plattformübergreifende Interoperabilität und die transitive domänenübergreifende Vertrauensstellung. In den meisten Fällen sind jedoch die Delegierung und die Sicherheit die wichtigsten Gründe für die Verwendung des Kerberos-Protokolls. Kerberos-Delegierung, eingeschränkte Delegierung und Protokollübergang Das Kerberos 5-Protokoll in der Windows-Plattform unterstützt zwei Typen von Identitätsdelegierung, nämlich die Standarddelegierung (uneingeschränkt) und die eingeschränkte Delegierung: Typ Vorteile Standarddelegierung Nachteile Ist über Domänengrenzen in einer einzelnen Gesamtstruktur hinweg möglich. Erfordert weniger Konfiguration als die eingeschränkte Delegierung. 22 Der Protokollübergang wird nicht unterstützt. Sicher. Wenn die Sicherheit des Front-End-Diensts gefährdet ist, kann die Clientidentität an einen beliebigen Dienst in der Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (Übersicht) Typ Vorteile Nachteile Gesamtstruktur delegiert werden, der die KerberosAuthentifizierung akzeptiert. Eingeschränkte Delegierung Ein anderes als das eingehende KerberosAuthentifizierungsprotokoll kann in das Kerberos Protokoll transformiert werden (Beispiel: NTLM zu Kerberos, anspruchsbasierte Authentifizierung zu Kerberos) Ist nicht über Domänengrenzen hinweg möglich. Erfordert zusätzliche Setupkonfiguration. Sicherer. Identitäten können nur an den angegebenen Dienst delegiert werden. Von Kerberos-aktivierten Diensten kann die Identität mehrfach über mehrere Dienste und mehrere Hops delegiert werden. Wenn eine Identität zwischen Diensten übertragen wird, kann die Delegierungsmethode von der Standarddelegierung in die eingeschränkte Delegierung geändert werden, aber nicht umgekehrt. Dies ist ein wichtiges Entwurfsdesign: wenn ein Back-End-Dienst die Standarddelegierung erfordert (z. B. zum Delegieren über eine Domänengrenze hinweg), müssen alle Dienste vor dem Back-EndDienst die Standarddelegierung verwenden. Falls ein Front-End-Dienst die eingeschränkte Delegierung verwendet, kann das eingeschränkte Token vom Back-EndDienst nicht in ein uneingeschränktes Token geändert werden, um eine Domänengrenze zu überwinden. Mit dem Protokollübergang kann ein Kerberos-aktivierter Authentifizierungsdienst (FrontEnd-Dienst) eine andere als eine Kerberos-Identität in eine Kerberos-Identität konvertieren, die an andere Kerberos-aktivierte Dienste delegiert werden kann (Back-End-Dienst). Für den Protokollübergang ist die eingeschränkte Kerberos-Delegierung erforderlich, weshalb Identitäten mit Protokollübergang keine Domänengrenzen überwinden können. In Abhängigkeit von den Benutzerrechten des Front-End-Diensts kann das vom 23 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Protokollübergang zurückgegebene Kerberos-Ticket ein Identifikationstoken oder ein Identitätswechseltoken sein. Weitere Informationen zur eingeschränkten Delegierung und zum Protokollübergang finden Sie in den folgenden Artikeln: Kerberos-Protokollübergang und eingeschränkte Delegierung (http://technet.microsoft.com/de-de/library/cc739587(WS.10).aspx) Technischer Zusatz zum Protokollübergang mit eingeschränkter Delegierung (http://msdn.microsoft.com/de-de/library/ff650469.aspx) Eingeschränkte Kerberos-Delegierung erfordert möglicherweise den Protokollübergang in Szenarien mit mehreren Hops (http://support.microsoft.com/kb/2005838/de-de) Falls die Kerberos-Delegierung erforderlich ist, sollte als allgemeine bewährte Methode nach Möglichkeit die eingeschränkte Delegierung verwendet werden. Falls die Delegierung über Domänengrenzen hinweg erforderlich ist, muss für alle Dienste im Delegierungspfad die Standarddelegierung verwendet werden. Änderungen bei der KerberosAuthentifizierung in Windows 2008 R2 und Windows 7 In Windows Server 2008 R2 und Windows 7 wurden neue Features für die KerberosAuthentifizierung eingeführt. Eine Übersicht über die Änderungen finden Sie unter Änderungen bei der Kerberos-Authentifizierung (http://go.microsoft.com/fwlink/?linkid=196655&clcid=0x407) und Verbesserungen bei Kerberos (http://go.microsoft.com/fwlink/?LinkId=196656&clcid=0x407). Darüber hinaus sollten Sie sich mit der Kernelmodusauthentifizierung von IIS 7.0 vertraut machen (Einstellungen für die Kernelmodusauthentifizierung von IIS 7.0, (http://go.microsoft.com/fwlink/?linkid=196657&clcid=0x407)) auch wenn sie in SharePoint Server-Farmen nicht unterstützt wird. Änderungen bei der Kerberos-Konfiguration in SharePoint 2010-Produkten Die meisten grundlegenden Konzepte zum Konfigurieren der Kerberos-Authentifizierung in SharePoint 2010-Produkten sind unverändert. Sie müssen auch weiterhin Dienstprinzipalnamen (Service Principal Names, SPNs) konfigurieren, und Sie müssen auch weiterhin Delegierungseinstellungen für Computer- und Dienstkonten konfigurieren. Es gibt jedoch einige Änderungen, die Sie beachten sollten: 24 Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (Übersicht) Eingeschränkte Delegierung – ist für Dienste erforderlich, die C2WTS (Claims to Windows Token Service, Forderungen an den Windows-Tokendienst) verwenden. Die eingeschränkte Delegierung ist erforderlich, damit vom Protokollübergang Ansprüche in Windows-Token konvertiert werden können. Dienstanwendungen – In Office SharePoint Server 2007 waren für die SSP-Dienste spezielle Änderungen bei Dienstprinzipalnamen und bei der Serverregistrierung erforderlich, um die Delegierung zu ermöglichen. In SharePoint 2010-Produkten werden von Dienstanwendungen die anspruchsbasierte Authentifizierung und C2WTS verwendet, weshalb diese Änderungen nicht mehr nötig sind. Windows Identity Foundation (WIF) – Der Forderungen an den WindowsTokendienst (Claims to Windows Token Service, C2WTS) von WIF ist ein neuer Dienst, der von SharePoint 2010-Produkten für Delegierungsszenarien zum Konvertieren von Ansprüchen in Windows-Token verwendet wird. Überlegungen beim Upgrade von Office SharePoint Server 2007 Beim Upgrade einer Office SharePoint Server 2007-Farm auf SharePoint Server 2010 sollten Sie die folgenden Aspekte beachten: Falls für Webanwendungen die URLs geändert werden, müssen Sie die Dienstprinzipalnamen entsprechend den DNS-Namen aktualisieren. Löschen Sie die SSP-Dienstprinzipalnamen, da sie in SharePoint Server 2010 nicht mehr benötigt werden. Starten Sie C2WTS (Claims to Windows Token Service, Forderungen an den WindowsTokendienst) auf den Servern, auf denen Dienstanwendungen ausgeführt werden, für die eine Delegierung erforderlich ist (z. B. Excel Services, Visio Graphics Service). Konfigurieren Sie für die eingeschränkte Kerberos-Delegierung Beliebiges Authentifizierungsprotokoll verwenden, um die eingeschränkte KerberosDelegierung mit C2WTS zu erlauben. Stellen Sie sicher, dass die Kernelmodusauthentifizierung in IIS deaktiviert ist. 25 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Konfigurieren der KerberosAuthentifizierung: Schritt-für-SchrittAnleitung (SharePoint Server 2010) Veröffentlichung: 02.12.10 In den folgenden Szenarioartikeln bauen wir eine SharePoint Server 2010-Umgebung auf, um zu demonstrieren, wie in einer Reihe von Szenarien, die in Unternehmen häufig vorkommen, die Delegierung konfiguriert wird. Bei den exemplarischen Vorgehensweisen wird davon ausgegangen, dass Sie eine horizontal skalierte SharePoint-Farm ähnlich der im folgenden Abschnitt beschriebenen Farm erstellen. Hinweis: Einige Konfigurationsschritte können variieren oder sind u. U. in bestimmten Farmtopologien nicht anwendbar. Beispielsweise unterstützt eine Installation mit einem einzelnen Server nicht den Forderungen-zu-Windows-Tokens-Dienst (C2WTS) in Windows Identity Foundation, sodass Szenarien mit Delegierung von Forderungen an Windows-Tokens in dieser Farmkonfiguration nicht möglich sind. Umgebung und Farmtopologie Das folgende Diagramm veranschaulicht die Farmtopologie, die beim Konfigurieren der Szenarien in den folgenden Abschnitten verwendet wurde. Die Farmtopologie wurde mit Lastenausgleich konfiguriert und zwischen mehreren Ebenen horizontal skaliert, um zu demonstrieren, wie die Identitätsdelegierung in Szenarien mit mehreren Servern und in Szenarien mit mehreren Schritten funktioniert. 26 Konfigurieren der Kerberos-Authentifizierung: Schritt-für-Schritt-Anleitung (SharePoint Server 2010) Hinweis: Die Farmkonfiguration in den Demos ist nicht als Referenzarchitektur oder als Modell für das Entwerfen einer Topologie für Produktionsumgebungen gedacht. Beispielsweise werden in der Demo-Topologie alle SharePoint Server 2010-Dienstanwendungen auf einem einzigen Server ausgeführt, sodass für diese Dienste eine einzige Fehlerquelle vorhanden ist. Weitere Informationen zum Entwerfen und Erstellen einer SharePoint Server-Produktionsumgebung finden Sie unter SharePoint Server 2010 – physische und logische Architektur und Topologien für SharePoint Server 2010. SQL AS Search SQL BCS vmSQL2k8r2-01 PPS Visio Web vmSQL2k8r2-02 Excel vmSP10WFE01 MMS SQL Cluster c2WTS Client (Win7) vmSP10WFE02 SSRS vmSP10APP01 NLB Cluster App Server vmSQL2k8r2-RS01 vmSQL2k8r2-RS01 SQL Reporting Services NLB Cluster Vmlab.local 27 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Hinweis: Bei den exemplarischen Vorgehensweisen für die Szenarien wird davon ausgegangen, dass sich alle Computer, auf denen SharePoint Server ausgeführt wird, und die im unten beschriebenen Szenario verwendeten Datenquellen in einer einzigen Domäne befinden. Eine Erklärung und eine exemplarische Vorgehensweise zur Konfiguration mit mehreren Domänen bzw. mit mehreren Gesamtstrukturen ist nicht Gegenstand dieses Dokuments. Spezifikation der Umgebung Alle Computer in der Demo-Umgebung werden als virtualisierte Computer unter Windows Server 2008 R2 Hyper-V ausgeführt. Die Computer gehören einer einzigen Windows-Domäne an, vmlab.local, die in den Funktionsebenen für Windows Server 2008-Gesamtstrukturen und -Domänen ausgeführt werden. Clientcomputer Windows 7 Professional, 64-Bit SharePoint Server-Front-End-Webs Windows Server 2008 R2 Enterprise, 64-Bit Dienste: Webanwendungsdienst Lastenausgleich mit Windows NLB SharePoint Server-Anwendungsserver Windows Server 2008 R2 Enterprise, 64-Bit Microsoft SharePoint Server 2010 (RTM) Dienste: WIF-Forderungen-zu-Windows-Tokens-Dienst Verwalteter Metadatendienst SharePoint-Index SharePoint-Abfrage 28 Konfigurieren der Kerberos-Authentifizierung: Schritt-für-Schritt-Anleitung (SharePoint Server 2010) Excel Services Visio-Grafikdienst Business Connectivity Services PerformancePoint-Dienste SQL-Dienste Windows Server 2008 R2 Enterprise, 64-Bit Microsoft SQL Server 2008 R2 Enterprise, 64-Bit Aktiv-Passiv-Konfiguration SQL Server-Dienste: SQL Data Engine SQL Server Analysis Services SQL Agent SQL-Browser SQL Reporting Server Windows Server 2008 R2 Enterprise, 64-Bit (RTM) Microsoft SQL 2008 R2 Enterprise, 64-Bit (RTM) Microsoft SharePoint Server 2010 (RTM) Lastenausgleich mit Windows NLB Reporting Services im integrierten SharePoint-Modus Reporting Services im Modus für horizontale Skalierung Spezifikation der Webanwendung In den Szenarien in der exemplarischen Vorgehensweise wird Bezug genommen auf eine Reihe von SharePoint Server 2010-Webanwendungen, die Sie in Szenario 1 konfigurieren werden. Für die folgenden Webanwendungen wird mithilfe von Windows 29 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte NLB ein Lastenausgleich zwischen den zwei SharePoint Server-Web-Front-Ends in der Demo-Umgebung durchgeführt: http://sp10CA Die Webanwendung der Zentraladministration für die Farm. In Szenario 1 wird die Konfiguration dieser Webanwendung nicht Schritt für Schritt erklärt. http://portal und https://portal Die Webanwendung mit dem DemoVeröffentlichungsportal. Anhand dieser Webanwendung wird gezeigt, wie Sie die Delegierung für Webanwendungen konfigurieren, die auf Standardports (HTTP 80, HTTPS 443) ausgeführt werden. http://teams:5555 Die Webanwendung mit der Demo-Teamwebsite. Anhand dieser Webanwendung wird die Konfiguration der Delegierung für Webanwendungen gezeigt, die auf nicht standardmäßigen Ports ausgeführt werden, im aktuellen Beispiel Port 5555. 30 Konfigurieren der Kerberos-Authentifizierung: Schritt-für-Schritt-Anleitung (SharePoint Server 2010) Application pool App Pool Identity: Vmlab\svcFarmv4 Central Administration Web Application SharePoint Central Administration URL: http://sp10CA Web Application pool App Pool Identity: Vmlab\svcPortal10App vmSP10WFE01 Portal Web Application vmSP10WFE02 Publishing Portal Site Collection URL: http://portal https://portal NLB Cluster Application pool App Pool Identity: Vmlab\svcTeams10App Team Site Web Application Team Site Collection URL: http://Teams:5555 SSL-Konfiguration In einigen der Szenarien mit exemplarischen Vorgehensweisen wird SSL verwendet, um zu veranschaulichen, wie die Delegierung mit HTTPS konfiguriert wird. Es wird davon ausgegangen, dass die verwendeten Zertifikate von einer (internen oder öffentlichen) 31 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte vertrauenswürdigen Stammzertifizierungsstelle stammen oder dass Sie alle Computer so konfiguriert haben, dass den verwendeten Zertifikaten vertraut wird. Nicht erklärt wird in diesem Dokument, wie Sie die Vertrauensstellung für Zertifikate ordnungsgemäß konfigurieren oder wie Sie Probleme im Zusammenhang mit der Installation von SSLZertifikaten beheben. Wir empfehlen dringend, die einschlägige Dokumentation über diese Themen zu lesen und die SSL-Konfiguration zu testen, bevor Sie die eingeschränkte Kerberos-Delegierung mit SSL-geschützten Diensten konfigurieren. Weitere Informationen finden Sie unter: Active Directory-Zertifikatdienste (Übersicht) (http://go.microsoft.com/fwlink/?LinkId=196660&clcid=0x407) Schrittweise Anleitung zu den Windows Server Active Directory-Zertifikatdiensten (http://go.microsoft.com/fwlink/?LinkId=196661&clcid=0x407) Konfigurieren von Serverzertifikaten in IIS 7 (http://go.microsoft.com/fwlink/?LinkId=196662&clcid=0x407) Einrichten von SSL für IIS 7: Konfigurieren der Sicherheit : Installieren und Konfigurieren von IIS 7 (http://go.microsoft.com/fwlink/?LinkID=193447&clcid=0x407) Hinzufügen einer Bindung zu einer Site (IIS 7) (http://go.microsoft.com/fwlink/?LinkId=196663&clcid=0x407) Konfigurieren eines Hostheaders für eine Website (IIS 7) (http://go.microsoft.com/fwlink/?LinkId=196664&clcid=0x407) – (Verwenden von SSL mit Hostheadern) Erstellen eines selbstsignierten Serverzertifikats in IIS 7 (http://go.microsoft.com/fwlink/?LinkId=196665&clcid=0x407) Lastenausgleich Der Lastenausgleich in den SharePoint Server-Front-End-Web und auf Servern mit SQL Server Reporting Services wurde mithilfe von Windows Server 2008Netzwerklastenausgleich (Network Load Balancing, NLB) implementiert. Die Konfiguration von NLB und bewährte Methoden für NLB werden in diesem Dokument nicht behandelt. Weitere Informationen zu NLB finden Sie unter Netzwerklastenausgleich (Übersicht). SQL--Aliasing Die Farm wurde unter Verwendung eines SQL-Client-Alias zum Herstellen einer Verbindung zum SQL-Cluster erstellt. Dies ist eine bewährte Methode und dient zur 32 Konfigurieren der Kerberos-Authentifizierung: Schritt-für-Schritt-Anleitung (SharePoint Server 2010) Veranschaulichung der Kerberos-Authentifizierung bei Verwendung von SQL-Aliasing. In Szenario 2 wird davon ausgegangen, dass die Umgebung auf diese Weise konfiguriert wurde. Die Verwendung von SQL-Aliasen ist jedoch keine Bedingung, um die unten beschriebenen Szenarien auszuführen. Weitere Informationen zum Konfigurieren von SQL-Aliasen finden Sie unter Vorgehensweise: Erstellen eines Serveralias für die Verwendung durch einen Client (SQL Server-Konfigurations-Manager). SharePoint Server Services und Dienstkonten In den nachfolgenden Szenarien wird ein Modell der geringsten Rechte implementiert, bei dem jeder Dienst in der SharePoint-Farm für seine Dienstidentität ein eigenes, eindeutiges Active Directory-Konto nutzt. Dieses Modell hat Vor- und Nachteile: Vorteile: Der Administrator kann die Berechtigungen jedes Diensts präzise steuern Dazu zählen Domänen-, lokale und allgemeine Berechtigungen, Delegierungsrechte und andere Einstellungen. Bessere Überwachung und Nachverfolgbarkeit Dadurch, dass jeder Dienst eine eigene Identität hat, kann der Administrator Netzwerk- und Systemaktivitäten basierend auf der in den Überwachungsdateien erfassten Identität zum jeweiligen Dienst zurückverfolgen. Wenn beispielsweise ein Überwachungsprotokoll eines Servers Anmeldeaktivitäten für ein bestimmtes Konto zeigt, kann mithilfe dieses Kontos die Aktivität zu einem bestimmten Dienst zurückverfolgt werden. Mehr Sicherheit Durch Arbeiten mit eigenen Konten für jeden Dienst kann ein Administrator sicherstellen, dass bei Gefährdung der Sicherheit eines Kontos der potenzielle Schaden begrenzt ist, da nur der Dienst betroffen ist, der dieses gefährdete Konto verwendet. Sollte jemals die Sicherheit eines Kontos gefährdet sein, muss eine ganzheitliche Sicherheitsprüfung der gesamten Umgebung erfolgen, um zum Beseitigen des Sicherheitsproblems die geeignetste Lösung zu finden. 33 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Nachteile: Höhere Komplexität bei der Kontoverwaltung Durch die höhere Anzahl von Dienstkonten erhöht sich der Aufwand der Active Directory-Konfiguration und die Anzahl der zu erzwingenden Verwaltungsrichtlinien für Kennwörter. Zusätzliche Konfiguration Wie die nachfolgende schrittweise Anleitung zeigt, müssen SharePoint Server-Administratoren, nachdem sie sich für das Arbeiten mit dem Modell der geringsten Rechte entschlossen haben, weitere Schritte ausführen, um die Umgebung ordnungsgemäß zu konfigurieren. Erhöhte Verwaltungskomplexität Die Wahrscheinlichkeit von Konfigurationsfehlern steigt mit der Zunahme der Komplexität der Umgebung. Wenn Sie mit mehreren Konten arbeiten, besteht die Möglichkeit, dass bestimmte Dienste falsch konfiguriert werden, was zu Funktionsstörungen führen kann, die dann behoben werden müssen. Beachten Sie, dass das Arbeiten mit gesonderten Dienstkonten keine Anforderung von SharePoint Server, sondern eine allgemeine Empfehlung für Produktionsumgebungen ist. In den Schritten im Rest dieses Dokuments wird erklärt, wie SharePoint Server konfiguriert wird, wenn Sie mit gesonderten Konten arbeiten. Einige dieser Schritte treffen ggf. nicht zu, wenn Sie mit gemeinsam genutzten Konten arbeiten. Dienstidentität für den Forderungen an den Windows-Tokendienst (C2WTS) Die nachfolgenden Schritte gehen von einem Sicherheitsmodell der geringsten Rechte aus und sehen für jeden SharePoint Server-Dienst ein eigenes Dienstkonto vor. Der Forderungen an den Windows-Tokendienst (C2WTS) ist zum Erfüllen dieser Vorgabe für die Nutzung eines gesonderten Active Directory-Kontos anstatt des standardmäßigen lokalen Systemkontos konfiguriert. Wenn Sie mit einem eindeutigen Konto arbeiten, können die dem Forderungen an den Windows-Tokendienst (C2WTS) gewährten Delegierungsrechte getrennt von anderen Diensten auf dem Server verwalten, die auch das lokale Systemkonto verwenden. Dies ist keine Produktanforderung, sondern eine empfohlene Vorgehensweise. 34 Konfigurieren der Kerberos-Authentifizierung: Schritt-für-Schritt-Anleitung (SharePoint Server 2010) Tipps zum Durcharbeiten der Szenarien Die unten beschriebenen Szenarien leiten Sie durch die verschiedenen Aktivitäten, die Sie zum Konfigurieren der Kerberos-Delegierung für verschiedene Funktionen der SharePoint Server-Plattform ausführen müssen. Beachten Sie beim Durcharbeiten der einzelnen Abschnitte Folgendes: Bei allen Szenarien wird davon ausgegangen, dass Sie die Webanwendungen für klassische eingehende Authentifizierung (Kerberos) konfiguriert haben. Einige der Szenarien erfordern die klassische Authentifizierung, d. h. sie funktionieren nicht wie hier dokumentiert, wenn eingehende Forderungsauthentifizierung verwendet wird. Stellen Sie zuerst sicher, dass die SharePoint Server-Dienste ohne Delegierung funktionieren, um sicherzugehen, dass die Dienstanwendungen korrekt konfiguriert sind, bevor Sie komplexere Konfigurationen mit Delegierung angehen. Führen Sie jeden Schritt sorgfältig durch, und überspringen Sie keinen Schritt. Führen Sie Szenario 1 durch, und arbeiten Sie mit den im Szenario genannten Tools zum Debuggen, da Sie diese in anderen Szenarien für die Ursachenanalyse bei Konfigurationsproblemen verwenden können. Arbeiten Sie unbedingt auch Szenario 2 durch. Sie brauchen einen Computer mit SQL Server, der für Kerberos-Authentifizierung konfiguriert ist. Die Testdatenbank, die Sie in diesem Szenario erstellen, werden Sie für einige der späteren Szenarien benötigen. Überprüfen Sie in jedem Szenario stets mithilfe von SetSPN -X und SetSPN -Q die Konfiguration der Dienstprinzipalnamen. Weitere Informationen hierzu finden Sie im Anhang. Überprüfen Sie unbedingt die Serverereignisprotokolle und die ULS-Protokolle, wenn Sie mit dem Debuggen eines Konfigurationsproblems beginnen. In diesen Protokollen finden Sie meist gute Hinweise auf die Ursachen möglicher Probleme. Aktivieren Sie die Diagnoseprotokollierung für SharePoint Foundation>Anspruchsauthentifizierung und jegliche Dienstanwendungen, die zu untersuchen sind, falls ein Problem auftritt. Denken Sie daran, dass sich die Zwischenspeicherung für Dienstanwendungen auf jedes Szenario auswirken kann. Wenn Sie Änderungen an der Konfiguration vornehmen, aber keine Veränderung im Verhalten der Plattform feststellen können, starten Sie den Anwendungspool oder den Windows-Dienst des Dienstes neu. Wird das Problem dadurch behoben, hilft manchmal ein Neustart des Systems. 35 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Bedenken Sie, dass Kerberos-Tickets nach der Anforderung zwischengespeichert werden. Wenn Sie ein Tool wie NetMon verwenden, um TGT- und TGS-Anforderungen anzuzeigen, müssen Sie u. U. den Ticketcache leeren, wenn der erwartete Anforderungsdatenverkehr nicht zu sehen ist. In Szenario 1, Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010), wird erklärt, wie Sie diesen Schritt mithilfe der Hilfsprogramme KLIST und KerbTray ausführen. Führen Sie NetMon unbedingt mit administrativen Berechtigungen aus, um Kerberos-Datenverkehr zu erfassen. Bei komplexen Debuggingszenarien empfiehlt es sich u. U., die WIFAblaufverfolgung für den Forderungen an den Windows-Tokendienst (C2WTS) sowie für die SharePoint-Dienstanwendungen (WCF-Dienste) zu aktivieren. Weitere Informationen finden Sie in folgenden Artikeln: WIF-Ablaufverfolgung Vorgehensweise: Aktivieren der Ablaufverfolgung Konfigurieren der Ablaufverfolgung 36 Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010) Konfigurieren der KerberosAuthentifizierung: Kernkonfiguration (SharePoint Server 2010) Veröffentlichung: 02.12.10 Im ersten Szenario konfigurieren Sie zwei SharePoint Server 2010-Webanwendungen für die Verwendung des Kerberos-Protokolls zur Authentifizierung eingehender Clientanforderungen. Zu Demonstrationszwecken wird eine Anwendung zur Verwendung von Standardports (80/443) und die andere für die Verwendung eines nicht standardmäßigen Ports konfiguriert. Dieses Szenario bildet die Grundlage aller folgenden Szenarien, für die vorausgesetzt wird, dass die folgenden Aktivitäten ausgeführt wurden. Wichtig: Ihre Webanwendungen müssen für die klassische Windows-Authentifizierung mithilfe der Kerberos-Authentifizierung konfiguriert werden, damit die Szenarien wie gewünscht funktionieren. In einigen Szenarien kann die anspruchs- bzw. forderungsbasierte Windows-Authentifizierung verwendet werden, die jedoch ggf. nicht die in den nachfolgenden Szenarien geschilderten Ergebnisse liefert. Hinweis: Bei einer Installation unter Windows Server 2008 muss ggf. der folgende Hotfix für die Kerberos-Authentifizierung installiert werden: Kerberos-Authentifizierung misslingt bei Verwenden des AES-Algorithmus auf einem Computer mit Windows Server 2008 oder Windows Vista mit dem Fehlercode 0X80090302 oder 0x8009030f (http://support.microsoft.com/kb/969083/de-de) In diesem Szenario führen Sie die folgenden Aufgaben aus: Konfigurieren zweier Webanwendungen mit Standardzonen, die das KerberosProtokoll für die Authentifizierung verwenden 37 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Erstellen je einer Test-Websitesammlung in beiden Webanwendungen Überprüfen der Internetinformationsdienste-Konfiguration der Webanwendung Überprüfen, ob sich Clients bei der Webanwendung authentifizieren können, und Sicherstellen, dass das Kerberos-Protokoll für die Authentifizierung verwendet wird Konfigurieren des Webparts RSS-Anzeige zum Anzeigen von RSS-Feeds in einer lokalen und einer Remotewebanwendung Durchforsten beider Webanwendungen und Testen der Suche nach Inhalten in jeder Test-Websitesammlung Checkliste für die Konfiguration Konfigurationsbereich Beschreibung DNS Registrieren eines DNS-Eintrags vom Typ „A“ für die virtuelle IP des Netzwerklastenausgleichs der Webanwendungen Active Directory Erstellen eines Dienstkontos für den Internetinformationsdienste-Anwendungspool (IIS) der Webanwendungen Registrieren von Dienstprinzipalnamen für die Webanwendungen für das Dienstkonto, das für den IISAnwendungspool der Webanwendungen erstellt wurde Konfigurieren der eingeschränkten Kerberos-Delegierung für Dienstkonten SharePointWebanwendung Erstellen verwalteter SharePoint Server-Konten Erstellen der SharePoint-Suchdienstanwendung Erstellen der SharePoint-Webanwendungen IIS Sicherstellen, dass die Kerberos-Authentifizierung aktiviert ist 38 Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010) Konfigurationsbereich Beschreibung Sicherstellen, dass die Kernelmodusauthentifizierung deaktiviert ist Installieren von Zertifikaten für SSL Windows 7-Client Sicherstellen, dass sich Webanwendungs-URLs in der Zone Intranet bzw. einer Zone befinden, die für die automatische Authentifizierung mithilfe der integrierten Windows-Authentifizierung konfiguriert ist Firewallkonfiguration Öffnen von Firewallports zum Zulassen von eingehendem HTTP-Datenverkehr an Standard- und Nicht-Standardports Sicherstellen, dass sich Clients mit Kerberos-Ports in Active Directory verbinden können Testen der Überprüfen, ob die Authentifizierung im Browser Browserauthentifizierung ordnungsgemäß funktioniert Überprüfen von Anmeldeinformationen im Sicherheitsereignisprotokoll des Webservers Prüfen, ob die Kerberos-Authentifizierung ordnungsgemäß konfiguriert ist, mithilfe von Tools anderer Anbieter Testen von SharePoint Server-Suchindex und abfrage Überprüfen des Browserzugriffs auf den Indexservern Hochladen von Beispielinhalten und Durchführen einer Durchforstung Testen der Suche Testen der Web-FrontEnd-Delegierung Konfigurieren von RSS-Feedquellen für jede Websitesammlung Hinzufügen von Webparts vom Typ „RSS-Anzeige“ zur Homepage jeder Websitesammlung 39 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Schrittweise Konfigurationsanweisungen Konfigurieren von DNS Konfigurieren Sie DNS für die Webanwendungen in Ihrer Umgebung. In diesem Beispiel gibt es die beiden Webanwendungen (http://portal und http://teams:5555), die beide in dieselbe virtuelle IP-Adresse für den Netzwerklastenausgleich (192.168.24.140/24) aufgelöst werden. Allgemeine Informationen zur DNS-Konfiguration finden Sie unter Verwalten von DNSEinträgen. SharePoint Server-Webanwendungen http://portal: Konfigurieren Sie einen neuen DNS-Eintrag vom Typ „A“ für die Webanwendung „portal“. In diesem Beispiel ist der Host „portal“ für die Auflösung in die virtuelle IP-Adresse für den Lastenausgleich konfiguriert. http://teams:5555: Konfigurieren Sie einen neuen DNS-Eintrag vom Typ „A“ für die Webanwendung „teams“. 40 Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010) Hinweis: Sie müssen sicherstellen, dass die DNS-Einträge vom Typ „A“ und keine CNAME-Aliase sind, damit die Kerberos-Authentifizierung in Umgebungen mit mehreren Webanwendungen erfolgreich funktioniert, die mit Hostheadern und gesonderten dedizierten Dienstkonten ausgeführt werden. Unter Bekannte KerberosKonfigurationsprobleme (SharePoint Server 2010) finden Sie eine Erklärung zum bekannten Problem bei der Verwendung von CNAME bei für Kerberos aktivierten Webanwendungen. Konfigurieren von Active Directory Als Nächstes konfigurieren Sie Active Directory-Konten für die Webanwendungen in Ihrer Umgebung. Es hat sich bewährt, jede Webanwendung für die Ausführung in ihrem eigenen IIS-Anwendungspool mit eigenem Sicherheitskontext (Anwendungspoolidentität) zu konfigurieren. Dienstkonten der SharePoint-Webanwendungen In unserem Beispiel gibt es zwei SharePoint Server-Webanwendungen, die in zwei gesonderten IIS-Anwendungspools mit eigenen ausgeführten Anwendungspoolidentitäten ausgeführt werden. 41 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Webanwendung (Standardzone) IIS-Anwendungspoolidentität http://portal vmlab\svcPortal10App http://teams:5555 vmlab\ svcTeams10App Dienstprinzipalnamen (SPNs) Konfigurieren Sie für jedes Dienstkonto eine Gruppe von Dienstprinzipalnamen, die den jeder Webanwendung zugewiesenen DNS-Hostnamen zugeordnet werden. Mit SetSPN, einem Befehlszeilenprogamm von Windows Server 2008, können Sie einen neuen Dienstprinzipalnamen konfigurieren. Eine ausführliche Beschreibung von SetSPN finden Sie unter Setspn. Informationen zu Verbesserungen an SetSPN in Windows Server 2008 finden Sie im MSDN-Blogbeitrag Care, Share and Grow! : New features in SETSPN.EXE on Windows Server 2008. Alle SharePoint Server-Webanwendungen befolgen ungeachtet der Portnummer das folgende Format für Dienstprinzipalnamen: HTTP/<DNS-HOST Name> HTTP/<DNS-FQDN> Beispiel: HTTP/portal HTTP/portal.vmlab.local Registrieren Sie für Webanwendungen, die an Nicht-Standardports (anderen Ports als 80/443) ausgeführt werden, zusätzliche Dienstprinzipalnamen samt Portnummer: HTTP/<DNS-Hostname>:<Port> HTTP/<DNS-FQDN>:<port> Beispiel: HTTP/teams:5555 HTTP/teams.vmlab.local:5555 42 Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010) Hinweis: Im Anhang finden Sie eine Erläuterung, warum empfohlen wird, Dienstprinzipalnamen mit und ohne Portnummer für HTTP-Dienste zu konfigurieren, die an NichtStandardports (80, 443) ausgeführt werden. Die technische ordnungsgemäße Vorgehensweise zum Verweisen auf einen HTTP-Dienst, der an einem NichtStandardport ausgeführt wird, ist das Einbeziehen der Portnummer in den Dienstprinzipalnamen, doch aufgrund bekannter im Anhang beschriebener Probleme, müssen auch Dienstprinzipalnamen ohne Portangabe konfiguriert werden. Das Verwenden der Dienstprinzipalnamen ohne Port für die Webanwendung teams bedeutet nicht, dass in unserem Beispiel auf Dienste über die Standardport (80, 443) zugegriffen wird. In unserem Beispiel haben wir die folgenden Dienstprinzipalnamen für die beiden im vorherigen Schritt erstellten Konten konfiguriert: DNS-Host IIS-Anwendungspoolidentität Dienstprinzipalnamen Portal.vmlab.local vmlab\svcPortal10App HTTP/portal HTTP/portal.vmlab.local Teams.vmlab.local vmlab\ svcTeams10App HTTP/Teams HTTP/Teams.vmlab.local HTTP/Teams:5555 HTTP/Teams.vmlab.local:5555 Zum Erstellen der Dienstprinzipalnamen wurden die folgenden Befehle ausgeführt: SetSPN -S HTTP/Portal vmlab\svcportal10App SetSPN -S HTTP/Portal.vmlab.local vmlab\svcportal10App 43 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte SetSPN -S HTTP/Teams vmlab\svcTeams10App SetSPN -S HTTP/Teams.vmlab.local vmlab\ svcTeams10App SetSPN -S HTTP/Teams:5555 vmlab\ svcTeams10App SetSPN -S HTTP/Teams.vmlab.local:5555 vmlab\ svcTeams10App Wichtig: Konfigurieren Sie Dienstprinzipalnamen nicht mit HTTPS, auch wenn die Webanwendung SSL verwendet. In diesem Beispiel wurde der neue in Windows Server 2008 eingeführte Befehlszeilenparameter „-S“ angegeben, der erst prüft, ob der Dienstprinzipalname vorhanden ist, ehe dieser für das Konto erstellt wird. Ist er bereits vorhanden, wird kein neuer Dienstprinzipalname erstellt und eine Fehlermeldung angezeigt. Werden doppelte Dienstprinzipalnamen gefunden, müssen Sie das Problem beheben, indem Sie entweder einen anderen DNS-Namen für die Webanwendung wählen und dadurch den Dienstprinzipalnamen ändern oder den vorhandenen Dienstprinzipalnamen aus dem Konto entfernen, in dem er erkannt wurde. 44 Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010) Wichtig: Vergewissern Sie sich vor dem Löschen eines vorhandenen Dienstprinzipalnamens, dass dieser nicht mehr benötigt wird, da Sie andernfalls ggf. die Kerberos-Authentifizierung einer anderen Anwendung in der Umgebung außer Kraft setzen. Dienstprinzipalnamen und SSL Kerberos-Dienstprinzipalnamen werden häufig mit URLs für HTTP-Webanwendungen verwechselt, da die Syntax des Dienstprinzipalnamen- und URI-Formats sehr ähnlich ist. Doch wichtig ist es zu verstehen, dass es sich um zwei vollständig unterschiedliche und eigene Dinge handelt. Kerberos-Dienstprinzipalnamen dienen zum Bestimmen eines Diensts. Wenn der jeweilige Dienst eine HTTP-Anwendung ist, lautet das Dienstschema „HTTP“ unabhängig davon, ob auf den Dienst über SSL zugegriffen wird oder nicht. Auch wenn Sie auf die Webanwendung über „https://beliebigeAnwendung“ zugreifen sollten, dürfen Sie deshalb einen Dienstprinzipalnamen nicht mit HTTPS, z. B. „HTTPS/beliebigeAnwendung“ konfigurieren. Konfigurieren der eingeschränkten Delegierung von Kerberos für Computer und Dienstkonten Je nach Szenario ist für bestimmte Funktionen in SharePoint Server 2010 die eingeschränkte Delegierung erforderlich. Wenn beispielsweise das Webpart RSSAnzeige für die Anzeige eines RSS-Feeds aus einer authentifizierten Quelle konfiguriert ist, wird für die Nutzung des Quellfeeds eine Delegierung benötigt. In anderen Fällen muss die eingeschränkte Delegierung ggf. konfiguriert werden, um Dienstanwendungen (wie Excel Services) die Delegierung der Identität des Clients an Back-End-Systeme zu ermöglichen. In diesem Szenario wird die eingeschränkte Kerberos-Delegierung konfiguriert, damit das Webpart RSS-Anzeige einen geschützten lokalen RSS-Feed und einen geschützten RSS-Remotefeed aus einer Remotewebanwendung lesen kann. In nachfolgenden Szenarien wird die eingeschränkte Kerberos-Delegierung für andere SharePoint Server 2010-Dienstanwendungen konfiguriert. Das folgende Diagramm veranschaulicht, was in diesem Szenario konfiguriert wird: 45 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Portal Web App HTTP/Portal RSS Viewer RSS Viewer Teams Web App HTTP/Teams RSS Viewer RSS Viewer Wir sehen zwei Webanwendungen mit je einer eigenen Websitesammlung sowie einer Webseite, die als Host zweier Webparts vom Typ RSS-Anzeige dient. Beide Webanwendungen haben eine einzelne Standardzone, die für die KerberosAuthentifizierung konfiguriert ist, sodass für alle aus diesen Websites stammenden Feeds eine Authentifizierung erforderlich ist. In den beiden Websites ist eine RSSAnzeige für das Lesen eines lokalen RSS-Feeds aus einer Liste und eine andere für das Lesen eines Authentifizierungsfeeds in der Remotewebsite konfiguriert. Hierfür wird die eingeschränkte Kerberos-Delegierung so konfiguriert, dass die Delegierung zwischen den Dienstkonten des IIS-Anwendungspools zugelassen wird. Das folgende Diagramm zeigt die benötigten Pfade für die eingeschränkte Delegierung: 46 Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010) Application pool Service Accounts Identity: Vmlab\svcPortal10App SPN: HTTP/Portal Portal Web App HTTP/Portal Application pool Identity: Vmlab\svcTeams10App SPN: HTTP/Teams Teams Web App HTTP/Teams Note: SPNs are not technically applied to web applications, they are assigned to service accounts. However we identify the “service” by SPN Wie bereits erwähnt, wird die Webanwendung anhand des Dienstnamens unter Verwendung des Dienstprinzipalnamens bestimmt, der der Identität des IISAnwendungspools zugewiesen ist. Die Anforderungen verarbeitenden Dienstkonten müssen so konfiguriert sein, dass die Clientidentität an die vorgesehenen Dienste delegiert wird. Die folgenden Pfade müssen für die eingeschränkte Delegierung konfiguriert werden: Prinzipaltyp Prinzipalname Erforderliche Stellvertretungen User svcPortal10App HTTP/Portal HTTP/Portal.vmlab.local HTTP/Teams HTTP/Teams.vmlab.local HTTP/Teams:5555 HTTP/Teams.vmlab.local:5555 47 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Prinzipaltyp Prinzipalname Erforderliche Stellvertretungen User svcTeams10App HTTP/Portal HTTP/Portal.vmlab.local HTTP/Teams HTTP/Teams.vmlab.local HTTP/Teams:5555 HTTP/Teams.vmlab.local:5555 Hinweis: Es mag redundant erscheinen, eine Delegierung eines Diensts an sich selbst zu konfigurieren, z. B. die Delegierung des Dienstkontos portal an die Dienstanwendung portal, doch ist dies in Szenarien erforderlich, in denen der Dienst auf mehreren Servern ausgeführt wird. Dies ist für das Szenario erforderlich, bei dem ein Server ggf. eine Delegierung an einen anderen Server vornehmen muss, auf dem derselbe Dienst ausgeführt wird, z. B. ein Web-Front-End-Server, der eine Anforderung mit einer RSSAnzeige verarbeitet, die die lokale Webanwendung als Datenquelle verwendet. Je nach Farmtopologie und -konfiguration ist es möglich, dass die RSS-Anforderung von einem anderen Server erfüllt wird, was für einen ordnungsgemäßen Betrieb die Delegierung erforderlich machen würde. Die Delegierung kann mit dem Snap-In Active Directory-Benutzer und -Computer konfiguriert werden. Klicken Sie mit der rechten Maustaste auf die einzelnen Dienstkonten, und öffnen Sie das Eigenschaftendialogfeld. Im Dialogfeld wird eine Registerkarte für die Delegierung angezeigt (dies allerdings nur, wenn dem Objekt ein Dienstprinzipalname zugewiesen ist. Computer haben standardmäßig einen Dienstprinzipalnamen). Wählen Sie auf der Registerkarte erst Benutzer bei Delegierungen angegebener Dienste vertrauen und dann Beliebiges Authentifizierungsprotokoll verwenden aus. 48 Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010) Klicken Sie auf die Schaltfläche Hinzufügen, um die Dienste hinzuzufügen, für die der Benutzer (das Dienstkonto) eine Delegierung vornehmen darf. In unserem Fall wird eine Delegierung an einen HTTP-Dienst versucht, was bedeutet, dass nach dem Dienstkonto des IIS-Anwendungspools gesucht wird, dem der Dienstprinzipalname im vorherigen Schritt zugewiesen wurde. 49 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Klicken Sie im Dialogfeld Benutzer oder Computer auswählen auf Benutzer und Computer, suchen Sie die Dienstkonten des IIS-Anwendungspools (in diesem Beispiel vmlab\svcPortal10App und vmlab\svcTeams10App), und klicken Sie dann auf OK. Sie werden anschließend aufgefordert, die den Objekten zugewiesenen Dienste anhand des Dienstprinzipalnamens auszuwählen. 50 Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010) Klicken Sie im Dialogfeld Dienste hinzufügen auf Alles markieren und dann auf OK. Wenn Sie zum Delegierungsdialogfeld zurückkehren, werden nicht alle ausgewählten Dienstprinzipalnamen angezeigt. Um alle anzuzeigen, aktivieren Sie links unten das Kontrollkästchen Erweitert. 51 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Führen Sie diese Schritte für jedes Dienstkonto in der Umgebung durch, das die Delegierung benötigt. In diesem Beispiel ist dies die Dienstkontenliste. Konfigurieren von SharePoint Server Nachdem Active Directory und DNS konfiguriert wurden, kann die Webanwendung in Ihrer SharePoint Server 2010-Farm erstellt werden. In diesem Artikel wird an dieser 52 Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010) Stelle vorausgesetzt, dass die Installation von SharePoint Server abgeschlossen ist und die Farmtopologie und unterstützende Infrastruktur (z. B. Lastenausgleich) konfiguriert sind. Weitere Informationen zum Installieren und Konfigurieren Ihrer SharePoint-Farm finden Sie unter Bereitstellung für SharePoint Server 2010. Konfigurieren verwalteter Dienstkonten Konfigurieren Sie vor dem Erstellen von Webanwendungen die in den vorherigen Schritten erstellten Dienstkonten in SharePoint Server als verwaltete Dienstkonten. Wenn Sie dies vorab tun, können Sie diesen Schritt überspringen, wenn Sie die Webanwendungen selbst erstellen. So konfigurieren Sie ein verwaltetes Konto 1. Klicken Sie in der SharePoint-Zentraladministration auf Sicherheit. 2. Klicken Sie unter Allgemeine Sicherheit auf Verwaltete Konten konfigurieren. 3. Klicken Sie auf Verwaltetes Konto registrieren, und erstellen Sie für jedes Dienstkonto ein verwaltetes Konto. In diesem Beispiel wurden fünf verwaltete Dienstkonten erstellt: Konto Zweck VMLAB\svcSP10Search SharePoint-Suchdienstkonto 53 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Konto Zweck VMLAB\svcSearchAdmin Dienstkonto für die SharePoint-Suchverwaltung VMLAB\svcSearchQuery Dienstkonto für die SharePoint-Suchabfrage VMLAB\svcPortal10App IIS-Anwendungspoolkonto für die Webanwendung „portal“ VMLAB\svcTeams10App IIS-Anwendungspoolkonto für die Webanwendung „teams“ Hinweis: Verwaltete Konten in SharePoint Server 2010 entsprechen nicht verwalteten Dienstkonten im Active Directory von Windows Server 2008 R2. Erstellen der SharePoint Server-Suchdienstanwendung In diesem Beispiel wird die SharePoint Server-Suchdienstanwendung so konfiguriert, dass sichergestellt ist, dass die neu erstellte Webanwendung erfolgreich durchforstet und durchsucht werden kann. Erstellen Sie eine neue SharePoint ServerSuchdienstanwendung, und legen Sie den Such-, Abfrage- und Verwaltungsdienst auf dem Anwendungsserver ab (in diesem Beispiel vmSP10App01). Eine ausführliche Erläuterung der Konfiguration der Suchdienstanwendung finden Sie im englischsprachigen Blogbeitrag Step-by-Step: Provisioning the Search Service Application. Hinweis: Die Installation aller Suchdienste auf einem einzelnen Anwendungsserver ist nur für Demonstrationszwecke gedacht. Eine vollständige Erläuterung der SharePoint Server 2010-Suchtopologieoptionen und empfohlenen Vorgehensweisen bietet dieser Artikel nicht. Erstellen der Webanwendung Wechseln Sie zur Zentraladministration, und wählen Sie im Abschnitt Anwendungsverwaltung die Option Webanwendungen verwalten aus. Klicken Sie auf 54 Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010) der Symbolleiste auf Neu, und erstellen Sie Ihre Webanwendung. Vergewissern Sie sich, dass Folgendes konfiguriert ist: Wählen Sie Klassischer Authentifizierungsmodus aus. Konfigurieren Sie den Port und Hostheader für jede Webanwendung. Wählen Sie Aushandeln als Authentifizierungsanbieter aus. Wählen Sie unter Anwendungspool die Option Neuen Anwendungspool erstellen und dann das im vorherigen Schritt erstellte verwaltete Konto aus. In diesem Beispiel wurden zwei Webanwendungen mit den folgenden Einstellungen erstellt: Einstellung http://Webanwendung „Portal“ http://Webanwendung „Teams“ Authentifizierung Klassischer Modus Klassischer Modus IIS-Website Name: SharePoint – Portal – Name: SharePoint – Teams – 80 5555 Port: 80 Port: 80 Hostheader: Portal Hostheader: Teams Sicherheitskonfiguration Authentifizierungsanbieter: Authentifizierungsanbieter: Aushandeln Aushandeln Anonymen Zugriff zulassen: Anonymen Zugriff zulassen: Nein Nein Secure Socket Layer verwenden: Secure Socket Layer Nein verwenden: Nein Öffentliche URL http://Portal:80 http://Teams:5555 Anwendungspool Name: SharePoint – Portal80 Name: SharePoint – Teams5555 Sicherheitskonto: vmlab\svcPortal10App 55 Sicherheitskonto: vmlab\svcTeams10App Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Beim Erstellen der neuen Webanwendung erstellen Sie auch eine neue Zone (die Standardzone), die für die Verwendung des Authentifizierungsanbieters Windows konfiguriert wird. Durch Auswählen der Webanwendung in deren Verwaltungsbereich und Klicken auf Authentifizierungsanbieter auf der Symbolleiste können Sie den Anbieter und seine Einstellungen für die Zone anzeigen. Im Dialogfeld mit den Authentifizierungsanbietern sind alle Zonen für die ausgewählte Webanwendung sowie der Authentifizierungsanbieter für jede Zone enthalten. Durch Auswählen der Zone werden die Authentifizierungsoptionen für die jeweilige Zone angezeigt. Im Dialogfeld mit den Authentifizierungsanbietern sind alle Zonen für die ausgewählte Webanwendung sowie der Authentifizierungsanbieter für jede Zone enthalten. Durch Auswählen der Zone werden die Authentifizierungsoptionen für die jeweilige Zone angezeigt. 56 Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010) Wenn Sie die Windows-Einstellungen falsch konfiguriert haben und NTLM beim Erstellen der Webanwendung ausgewählt haben, können Sie im Dialogfeld Authentifizierungsfeatures bearbeiten die Einstellung in Aushandeln ändern. Falls Klassischer Modus nicht als Authentifizierungsmodus ausgewählt wurde, müssen Sie entweder eine neue Zone erstellen, indem Sie die Webanwendung auf eine neue IISWebsite erweitern, oder die Webanwendung löschen und neu erstellen. 57 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Erstellen von Websitesammlungen Zum Testen, ob die Authentifizierung ordnungsgemäß funktioniert, müssen Sie in jeder Webanwendung mindestens eine Websitesammlung erstellen. Das Erstellen und Konfigurieren der Websitesammlung wirkt sich nicht auf die Funktionalität von Kerberos aus, weshalb Sie die Anleitungen zum Erstellen einer Websitesammlung unter Erstellen einer Websitesammlung (SharePoint Foundation 2010) befolgen können. Für dieses Beispiel wurden zwei Websitesammlungen konfiguriert: Webanwendung Pfad der Websitesammlung Vorlage der Websitesammlung http://portal / Veröffentlichungsportal http://teams:5555 / Teamwebsite Erstellen alternativer Zugriffszuordnungen Die Portalwebanwendung wird für die Verwendung von HTTPS und HTTP konfiguriert, um zu zeigen, wie die Delegierung bei durch SSL geschützten Diensten funktioniert. Zum Konfigurieren von SSL benötigt die Portwebanwendung für den HTTPS-Endpunkt eine zweite alternative SharePoint Server-Zugriffszuordnung. So konfigurieren Sie alternative Zugriffszuordnungen 1. Klicken Sie in der Zentraladministration auf Anwendungsverwaltung. 2. Klicken Sie im Abschnitt Webanwendungen auf Alternative Zugriffszuordnungen konfigurieren. 58 Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010) 3. Wählen Sie in der Dropdownliste Alternative Zugriffszuordnungssammlung auswählen den Eintrag Alternative Zugriffszuordnungssammlung ändern aus. 4. Wählen Sie die Webanwendung „portal“ aus. 5. Klicken Sie auf der oberen Symbolleiste auf Öffentliche URLs bearbeiten. 59 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 6. Fügen Sie in einer freien Zone die HTTPS-URL der Webanwendung hinzu. Diese URL wird der Name auf dem SSL-Zertifikat, das Sie in den nächsten Schritten erstellen. 7. Klicken Sie auf Speichern. Die HTTPS-URL sollte nun in der Zonenliste der Webanwendung enthalten sein. IIS-Konfiguration Installieren von SSL-Zertifikaten Sie müssen auf jedem Server mit SharePoint Server, der als Host des Webanwendungsdiensts dient, für jede mit SSL arbeitende Webanwendung ein SSLZertifikat konfigurieren. Die Konfiguration eines SSL-Zertifikats und einer Zertifikatsvertrauensbeziehung wird ebenfalls in diesem Artikel nicht behandelt. Im Abschnitt „SSL-Konfiguration“ in diesem Artikel finden Sie Verweise auf Informationen zum Konfigurieren von SSL-Zertifikaten in Internetinformationsdienste (IIS). Sicherstellen, dass die Kerberos-Authentifizierung aktiviert ist So überprüfen Sie, ob die Kerberos-Authentifizierung für die Website aktiviert ist 1. Öffnen Sie den Internetinformationsdienste-Manager. 2. Wählen Sie die zu überprüfende IIS-Website aus. 3. Doppelklicken Sie in der Ansicht Features unter IIS auf Authentifizierung. 60 Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010) 4. Windows-Authentifizierung muss aktiviert sein. 5. Wählen Sie rechts unter Aktionen den Eintrag Anbieter aus. Vergewissern Sie sich, dass Negotiate der oberste Listeneintrag ist. 61 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Sicherstellen, dass die Kernelmodusauthentifizierung deaktiviert ist Die Kernelmodusauthentifizierung wird von SharePoint Server 2010 nicht unterstützt. Für alle SharePoint Server-Webanwendungen muss die Kernelmodusauthentifizierung in den dazugehörigen IIS-Websites standardmäßig deaktiviert sein. Selbst in Fällen, in denen die Webanwendung für eine vorhandene IIS-Website konfiguriert wurde, deaktiviert SharePoint Server die Kernelmodusauthentifizierung, da eine neue Webanwendung in der vorhandenen IIS-Website bereitgestellt wird. So prüfen Sie, ob die Kernelmodusauthentifizierung deaktiviert ist 1. Öffnen Sie den Internetinformationsdienste-Manager. 2. Wählen Sie die zu überprüfende IIS-Website aus. 3. Doppelklicken Sie in der Ansicht Features unter IIS auf Authentifizierung. 4. Windows-Authentifizierung muss aktiviert sein. 5. Klicken Sie auf Erweiterte Einstellungen. 6. Vergewissern Sie sich, dass die EAP- und Kernelmodusauthentifizierung deaktiviert sind. 62 Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010) Konfigurieren der Firewall Stellen Sie vor dem Testen der Authentifizierung sicher, dass Clients an den konfigurierten HTTP-Ports auf die SharePoint Server-Webanwendungen zugreifen können. Stellen Sie ferner sicher, dass Clients sich bei Active Directory authentifizieren und über die Kerberos-Standardports Kerberos-Tickets vom Schlüsselverteilungscenter anfordern können. Öffnen von Firewallports zum Zulassen von eingehendem HTTPDatenverkehr an Standard- und Nicht-Standardports In der Regel müssen Sie die Firewall auf jedem Front-End-Webserver für das Zulassen eingehender Anforderungen über die TCP-Ports 80 und 443 konfigurieren. Öffnen Sie für die Windows-Firewall den Abschnitt Erweiterte Sicherheit, und wechseln Sie zu den folgenden Regeln für eingehenden Datenverkehr: 63 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte WWW-Dienste (Eingehender HTTP-Datenverkehr) WWW-Dienste (Eingehender HTTPS-Datenverkehr) Vergewissern Sie sich, dass die entsprechenden Ports in Ihrer Umgebung geöffnet sind. In diesem Beispiel wird auf SharePoint Server über HTTP (Port 80) zugegriffen, weshalb diese Regel aktiviert wurde. Darüber hinaus muss der in diesem Beispiel verwendete Nicht-Standardport (TCP 5555) geöffnet werden. Wenn Sie über an Nicht-Standardports ausgeführte Websites verfügen, müssen Sie benutzerdefinierte Regeln konfigurieren, die HTTP-Datenverkehr an diesen Ports zulassen. Sicherstellen, dass sich Clients mit Kerberos-Ports in der Active Directory-Rolle verbinden können Zum Verwenden der Kerberos-Authentifizierung müssen Clients TGTs (Ticket Granting Tickets) und Diensttickets über den UDP- oder TCP-Port 88 aus dem Schlüsselverteilungscenter abrufen. Wenn Sie die Active Directory-Rolle in Windows Server 2008 oder höher installieren, wird die Rolle standardmäßig mit den folgenden Regeln für eingehenden Datenverkehr konfigurieren, um diese Kommunikation standardmäßig zuzulassen: Kerberos-Schlüsselverteilungscenter - PCR (TCP eingehend) Kerberos-Schlüsselverteilungscenter - PCR (UDP eingehend) Kerberos-Schlüsselverteilungscenter - TCP eingehend Kerberos-Schlüsselverteilungscenter - UDP eingehend Stellen Sie sicher, dass diese Regeln aktiviert sind und sich Clients über Port 88 mit dem Schlüsselverteilungscenter (Domänencontroller) verbinden können. 64 Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010) Testen der Browserauthentifizierung Nach der Konfiguration von Active Directory, DNS und SharePoint Server können Sie nun testen, ob die Kerberos-Authentifizierung ordnungsgemäß konfiguriert ist, indem Sie im Browser zu Ihren Webanwendungen wechseln. Beim Testen im Browser müssen die folgenden Bedingungen erfüllt werden: 1. Der Testbenutzer ist bei einem Computer mit Windows XP, Vista oder Windows 7 angemeldet, der der Domäne beigetreten ist, in der SharePoint Server installiert ist, oder bei einer Domäne angemeldet, der von der SharePoint Server-Domäne vertraut wird. 2. Der Testbenutzer verwendet Internet Explorer 7.0 oder höher (Internet Explorer 6.0 wird von SharePoint Server 2010 nicht mehr unterstützt. Siehe Planen im Hinblick auf die Browserunterstützung (SharePoint Server 2010)). 3. Die integrierte Windows-Authentifizierung ist im Browser aktiviert. Vergewissern Sie sich, dass unter Internetoptionen auf der Registerkarte Erweitert im Abschnitt Sicherheit die Option Integrierte Windows-Authentifizierung aktivieren* aktiviert ist: 4. Das lokale Intranet ist für das automatische Anmelden von Clients konfiguriert. Wählen Sie in Internetoptionen auf der Registerkarte Sicherheit die Option Lokales 65 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Intranet aus, und klicken Sie auf die Schaltfläche Stufe anpassen. Führen Sie einen Bildlauf nach unten durch, und prüfen Sie, ob Automatisches Anmelden nur in der Intranetzone aktiviert ist. Führen Sie einen Bildlauf nach unten durch, und prüfen Sie, ob Automatisches Anmelden nur in der Intranetzone aktiviert ist. 66 Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010) Hinweis: Es ist möglich, die automatische Anmeldung für andere Zonen zu konfigurieren, doch in diesem Artikel werden die bewährten Methoden bei den Internet ExplorerSicherheitszonen nicht behandelt. Zu Demonstrationszwecken wird für alle Tests die Intranetzone verwendet. 5. Stellen Sie sicher, dass unter Internetoptionen->Sicherheit->Intranetzone->Sites die Option Intranetnetzwerk automatisch ermitteln aktiviert ist. 67 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 6. Wenn Sie vollqualifizierte Domänennamen für den Zugriff auf die SharePoint ServerWebanwendungen verwendet, stellen Sie sicher, dass die vollqualifizierten Domänennamen in die Intranetzone einbezogen werden, entweder explizit oder durch Platzhalterinklusion (z. B. „*.vmlab.local“). 68 Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010) Die einfachste Möglichkeit zum Bestimmen, ob die Kerberos-Authentifizierung verwendet wird, ist das Anmelden bei einer Testarbeitsstation und Navigieren zu der betreffenden Website. Wenn der Benutzer nicht zur Angabe von Anmeldeinformationen aufgefordert und die Website ordnungsgemäß angezeigt wird, können Sie davon ausgehen, dass die integrierte Windows-Authentifizierung funktioniert. Der nächste Schritt besteht im Bestimmen, ob das Protokoll Verhandeln zum Aushandeln der Kerberos-Authentifizierung als Authentifizierungsanbieter für die Anforderung verwendet wurde. Die kann auf folgende Weisen geschehen: Sicherheitsprotokolle des Front-End-Webservers Wenn die Kerberos-Authentifizierung ordnungsgemäß funktioniert, werden auf den Front-End-Webservern in den Sicherheitsereignisprotokollen Anmeldeereignisse mit der Ereignis-ID 4624 angezeigt. 69 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte In den allgemeinen Informationen zu diesen Ereignissen sollten die auf dem Computer protokollierte Sicherheits-ID und der verwendete Anmeldeprozess enthalten sein, der Kerberos lauten muss. 70 Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010) KList KList ist ein Befehlszeilenprogramm im Standardfunktionsumfang von Windows Server 2008 und Windows Server 2008 R2, mit dem Kerberos-Tickets auf einem bestimmten Computer aufgelistet und gelöscht werden können. Öffnen Sie zum Ausführen von KLIST in Windows Server 2008 eine Eingabeaufforderung, und geben Sie Klist ein. Wenn Sie den Ticketcache löschen möchten, führen Sie KList mit dem optionalen Parameter purge aus: Klist purge KerbTray KerbTray ist ein kostenloses Hilfsprogramm im Funktionsumfang der Windows Server 2000 Resource Kit-Tools, das auf Clientcomputern zum Anzeigen des KerberosTicketcaches verwendet werden kann. Es kann an unter Windows 2000 Resource Kit Tool: Kerbtray.exe heruntergeladen und anschließend installiert werden. Führen Sie nach der Installation die folgenden Schritte aus: 1. Navigieren Sie zu den Websites, auf denen die Kerberos-Authentifizierung verwendet wird. 2. Führen Sie KerbTray.exe aus. 71 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 3. Zeigen Sie den Kerberos-Ticketcache an, indem Sie auf der Taskleiste mit der rechten Maustaste auf das KerbTray-Symbol klicken und List Tickets auswählen. 4. Prüfen Sie, ob die Diensttickets für die Webanwendungen, die Sie authentifiziert haben, in der Liste der zwischengespeicherten Tickets enthalten sind. In diesem Beispiel sind wir zu den folgenden Websites navigiert, für die die folgenden Dienstprinzipalnamen registriert sind: Website-URL Dienstprinzipalname http://portal HTTP/Portal.vmlab.local http://teams:5555 HTTP/Teams.vmlab.local 72 Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010) 73 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Fiddler Fiddler ist ein kostenloses Analyseprogramm für HTTP-Datenverkehr, das an folgender Adresse heruntergeladen werden kann: http://www.fiddlertool.com/. In Fiddler können Sie das Aushandeln der Kerberos-Authentifizierung zwischen Client und Server verfolgen und in den HTTP-Headern jeder Anforderung die vom Client an den Server gesendeten Kerberos-Diensttickets erkennen. Führen Sie zum Überprüfen, ob die KerberosAuthentifizierung ordnungsgemäß funktioniert, in Fiddler die folgenden Schritte aus: 1. Laden Sie Fiddler (www.fiddlertool.com) auf den Clientcomputer herunter, und installieren Sie das Programm. 2. Melden Sie sich vom Desktopcomputer ab und wieder an, um zwischengespeicherte Verbindungen mit dem Webserver zu löschen und den Browser zu zwingen, die Kerberos-Authentifizierung auszuhandeln und den Authentifizierungshandshake durchzuführen. 3. Starten Sie Fiddler. 4. Öffnen Sie Internet Explorer, und wechseln Sie zur Webanwendung (http://portal in unserem Beispiel). In Fiddler können Sie die Anforderungen und Antworten an den SharePoint ServerFront-End-Webserver nachverfolgen. Der erste HTTP 401-Befehl ist der Versuch des Browsers, die GET-Anforderung ohne Authentifizierung durchzuführen. 74 Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010) Als Antwort sendet der Server die Meldung „HTTP 401 - Nicht autorisiert“ zurück und gibt in der Antwort an, welche Authentifizierungsmethode unterstützt wird. In der nächsten Anforderung sendet der Client erneut die vorherige Anforderung, wobei jedoch dieses Mal das Dienstticket für die Webanwendung in den Headern der Anforderung mit gesendet wird. 75 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Im Inspektorfenster von Fiddler sehen Sie in der Ansicht „Auth“ auch das KerberosTicket in der Anforderung und die Kerberos-Antwort: 76 Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010) Bei erfolgreicher Authentifizierung sendet der Server die angeforderte Ressource zurück. NetMon 3.4 NetMon 3.4 ist ein kostenlose Analyseprogramm von Netzwerkpaketen von, das aus dem Microsoft Download Center heruntergeladen werden kann: Microsoft Network Monitor 3.4. 77 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte In NetMon sehen Sie alle TCP-Anforderungen und -Antworten an das Schlüsselverteilungscenter und die SharePoint Server-Webserver und erhalten dadurch eine vollständige Sicht auf den Datenverkehr, der die komplette Authentifizierungsanforderung bildet. Führen Sie zum Überprüfen mit NetMon, ob die Kerberos-Authentifizierung funktioniert, die folgenden Schritte aus: 1. Laden Sie NetMon 3.4 (Microsoft Network Monitor 3.4) herunter, und installieren Sie das Programm. 2. Melden Sie sich vom Client ab und anschließend wieder an, um den KerberosTicketcache zu löschen. Sie können den Ticketcache auch mithilfe von KerbTray löschen, indem Sie mit der rechten Maustaste auf KerbTray klicken und Purge Tickets auswählen. 3. Starten Sie NetMon im Administratormodus. Klicken Sie mit der rechten Maustaste auf die NetMon-Verknüpfung, und wählen Sie Als Administrator ausführen aus. 4. Starten Sie eine neue Erfassung für die Schnittstellen, die mit dem Active DirectoryDomänencontroller in Ihrer Umgebung und den Front-End-Webservern verbunden sind. 5. Öffnen Sie Internet Explorer, und wechseln Sie zur Webanwendung. 6. Beenden Sie, sobald die Website angezeigt wird, die Erfassung, und fügen Sie einen Anzeigefilter hinzu, um die Frames für Kerberos-Authentifizierung und HTTPDatenverkehr anzuzeigen. 78 Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010) 7. Im Framesfenster werden sowohl der HTTP- als auch der Kerberos 5-Datenverkehr angezeigt. a. Die ersten beiden Frames sind die ursprüngliche Anforderung und Antwort, wobei der Client und der Server die Verwendung von Kerberos für die Authentifizierung aushandeln. b. Die folgenden Kerberos 5-Frames sind die Clientanforderungen des Ticket Granting Tickets für den Bereich „VMLAL.Local“ und der Kerberos-Diensttickets für den Dienstprinzipalnamen (SPN) „HTTP/portal.VMLAB.local“. c. Die letzten HTTP-Frames gehören schließlich zum Client, der die Diensttickets verwendet, um sich beim Webserver zu authentifizieren, und zum Server, der den Client erfolgreich authentifiziert und die Antwort zurückgibt. Testen der Kerberos-Authentifizierung über SSL Zum eindeutigen Bestimmen der Dienstprinzipalnamen, die angefordert werden, wenn ein Client auf eine durch SSL geschützte Ressource zugreift, können Sie mit einem Tool wie NetMon den Datenverkehr zwischen Client und Server erfassen und die Anforderungen von Kerberos-Diensttickets überprüfen. 1. Melden Sie sich entweder vom Clientcomputer ab und anschließend wieder an, oder löschen Sie alle Kerberos-Tickets im Cache mithilfe von KerbTray. 2. Starten Sie eine neue NetMon-Erfassung auf dem Clientcomputer. NetMon muss mit Administratorberechtigungen gestartet werden. 3. Navigieren Sie zur durch SSL geschützten Webanwendung (in diesem Beispiel Forderungen an den Windows-Tokendienst (C2WTS)). 79 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 4. Beenden Sie die NetMon-Erfassung, und untersuchen Sie den KerberosV5Datenverkehr. Anweisungen zum Filter der Erfassungsanzeige finden Sie in den Anweisungen im Abschnitt NetMon 3.4 dieses Artikels. 5. Suchen Sie die TGS-Anforderung, die der Client sendet. In der Anforderung ist der angeforderte Dienstprinzipalname im Parameter „Sname“ enthalten. Beachten Sie, dass „Sname“ HTTP/portal.vmlab.local und nicht HTTPS/portal.vmlab.local ist. Testen von SharePoint Server-Suchindex und -abfrage Überprüfen des Browserzugriffs auf den Indexservern Stellen Sie vor einer Durchforstung sicher, dass der Indexserver auf die Webanwendungen zugreifen und sich ordnungsgemäß authentifizieren kann. Melden Sie sich beim Indexserver an, und öffnen Sie im Browser die Test-Websitesammlungen. Wenn die Websites ordnungsgemäß angezeigt und keine Authentifizierungsdialogfelder angezeigt werden, fahren Sie mit dem nächsten Schritt fort. Sollten beim Zugriff auf die Websites im Browser Probleme auftreten, kehren Sie zu den vorherigen Schritten zurück, um zu prüfen, ob alle Konfigurationsschritte ordnungsgemäß ausgeführt wurden. 80 Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010) Hochladen von Beispielinhalten und Durchführen einer Durchforstung Laden Sie in jeder Websitesammlung ein Ausgangsdokument (das bei einer Suche leicht zu bestimmen ist) in eine Dokumentbibliothek hoch. Erstellen Sie hierzu beispielsweise ein Textdokument mit den Worten „Alpha, Beta, Gamma“. Wechseln Sie zur SharePoint-Zentraladministration, und beginnen Sie eine vollständige Durchforstung der Inhaltsquelle Lokale SharePoint-Websites (die standardmäßig die beiden Test-Websitesammlungen enthalten sollte). Testen der Suche Bei erfolgreicher Indizierung sollten der Index durchsuchbare Elemente und das Durchforstungsprotokoll keine Fehler enthalten. Hinweis: Wenn Sie die Benutzerprofilanwendung konfiguriert haben und den Profilspeicher durchforsten, müssen Sie für die Benutzerprofilanwendung die entsprechenden Berechtigungen konfigurieren, um dem Inhaltszugriffskonto den Zugriff auf Profildaten zu ermöglichen. Wenn Sie nicht die Berechtigungen für die 81 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Benutzerprofilanwendung konfiguriert haben, enthalten die Durchforstungsprotokolle Fehler, die angeben, dass der Crawler nicht auf den Profildienst zugreifen konnten, da beim Versuch des Zugriffs auf den Dienst ein HTTP 401-Fehler aufgetreten ist. Dieser Fehler ist nicht auf Kerberos, sondern auf das Inhaltszugriffskonto zurückzuführen, das keine Berechtigungen zum Lesen der Profildaten hat. Hinweis: Wenn Sie die Benutzerprofilanwendung konfiguriert haben und den Profilspeicher durchforsten, müssen Sie für die Benutzerprofilanwendung die entsprechenden Berechtigungen konfigurieren, um dem Inhaltszugriffskonto den Zugriff auf Profildaten zu ermöglichen. Wenn Sie nicht die Berechtigungen für die Benutzerprofilanwendung konfiguriert haben, enthalten die Durchforstungsprotokolle Fehler, die angeben, dass der Crawler nicht auf den Profildienst zugreifen konnten, da beim Versuch des Zugriffs auf den Dienst ein HTTP 401-Fehler aufgetreten ist. Dieser Fehler ist nicht auf Kerberos, sondern auf das Inhaltszugriffskonto zurückzuführen, das keine Berechtigungen zum Lesen der Profildaten hat. Wechseln Sie als Nächstes zu den beiden Websitesammlungen, und führen Sie eine Suche nach dem Ausgangsdokument durch. Die Suchabfragen der beiden Websitesammlungen sollten das hochgeladene Ausgangsdokument zurückgeben. 82 Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010) Testen der Front-End-Webserverdelegierung Als letzten Schritt in diesem Szenario wenden Sie das Webpart RSS-Anzeige auf jede Websitesammlung an, um sicherzustellen, dass die Delegierung sowohl lokal als auch remote funktioniert. Konfigurieren von RSS-Feedquellen für jede Websitesammlung Bei der Portalanwendung müssen Sie RSS-Feeds für die Websitesammlung aktivieren. Befolgen Sie zum Aktivieren von RSS-Feeds die Anweisungen unter Verwalten von RSSFeeds auf Office.com. Erstellen Sie nach der Aktivierung von RSS-Feeds eine neue benutzerdefinierte Liste, der Sie zu Testzwecken ein Element hinzufügen. Navigieren Sie zum Symbolleistenmenü Liste, und klicken Sie auf RSS-Feed, um den RSS-Feed anzuzeigen. Kopieren Sie die FeedURL für die Verwendung in den folgenden Schritten. 83 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Führen Sie diesen Schritt für jede Websitesammlung aus. Hinzufügen von Webparts vom Typ „RSS-Anzeige“ zur Homepage jeder Websitesammlung Für die Anwendung portal müssen Sie die Websitesammlungs-Funktion Features von SharePoint Enterprise aktivieren, um das Webpart RSS-Anzeige verwenden zu können. Fügen Sie nach der Aktivierung zwei Webparts vom Typ RSS-Anzeige der Homepage hinzu. Konfigurieren Sie für das erste Webpart die Feed-URL so, dass sie auf den lokalen RSSFeed zeigt, den Sie im vorherigen Schritt erstellt haben. Konfigurieren Sie für das zweite Webpart die Feed-URL so, dass sie auf die URL des Remote-Feeds zeigt. Im Anschluss sollten beide Webparts Inhalte aus dem lokalen und Remote-RSS-Feed anzeigen. 84 Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010) 85 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Kerberos-Authentifizierung für SQL OLTP (SharePoint Server 2010) Veröffentlichung: 02.12.10 In diesem Szenario wird das Konfigurieren der Kerberos-Authentifizierung für den SQL Server-Cluster in der Beispielumgebung veranschaulicht. Im Anschluss wird die Authentifizierung von SharePoint Server-Diensten beim Cluster mit dem KerberosProtokoll überprüft. In diesem Szenario führen Sie folgende Schritte aus: Konfigurieren eines bestehenden SQL Server 2008 R2-Clusters für die KerberosAuthentifizierung Sicherstellen, dass der Client sich mithilfe von Kerberos-Authentifizierung beim Cluster authentifizieren kann Erstellen einer Testdatenbank und von Beispieldaten für spätere Szenarien 86 Kerberos-Authentifizierung für SQL OLTP (SharePoint Server 2010) Hinweis: Es ist nicht erforderlich, die Kerberos-Authentifizierung für SQL Server für zentrale Datendienste von SharePoint Server (beispielsweise Verbindungen zu Plattformdatenbanken) zu verwenden. Die Beispielumgebung verfügt lediglich über einen SQL Server-Cluster, auf dem zusätzliche Beispieldatenbanken für spätere Szenarien gehostet werden. Damit die Delegierung in diesen Szenarien ordnungsgemäß funktioniert, müssen vom SQL Server-Cluster mit Kerberos authentifizierte Verbindungen akzeptiert werden. Hinweis: Bei einer Installation unter Windows Server 2008 muss ggf. der folgende Hotfix für die Kerberos-Authentifizierung installiert werden: Kerberos-Authentifizierung misslingt bei Verwenden des AES-Algorithmus auf einem Computer mit Windows Server 2008 oder Windows Vista mit dem Fehlercode 0X80090302 oder 0x8009030f (http://support.microsoft.com/kb/969083/de-de) Checkliste für die Konfiguration Konfigurationsbereich Beschreibung Konfigurieren von DNS DNS (A)-Hosteinträge für die IP-Adresse des SQL ServerClusters erstellen Konfigurieren von Active Dienstprinzipalnamen (SPN) für den SQL Server-Dienst Directory erstellen Überprüfen der SQL Server-KerberosKonfiguration SQL-Verbindungsmetadaten mit SQL Server Management Studio abfragen, um die Verwendung des KerberosAuthentifizierungsprotokolls sicherzustellen 87 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Details der Szenarioumgebung SQL Database Engine Identity Vmlab\svcSQL SQL Local SQL Client Alias: SPFarmSQL DNS (A): MySQLCluster.vmlab.local Cluster IP: 192.168.8.135 vmSQL2k8r2-01 Default Instance Port: 1433 vmSQL2k8r2-02 SharePoint SQL Cluster In diesem Szenario wird eine SharePoint Server-Farm veranschaulicht, die für Verwendung eines SQL-Alias in einer Verbindung mit einem SQL Server-Cluster konfiguriert wurde, der für die Verwendung der Kerberos-Authentifizierung konfiguriert ist. Schrittweise Konfigurationsanweisungen Konfigurieren von DNS Konfigurieren Sie das DNS für den SQL Server-Cluster in Ihrer Umgebung. Konfigurieren Sie das DNS für den SQL Server-Cluster in Ihrer Umgebung. In diesem Beispiel wird ein SQL Server-Cluster (MySqlCluster.vmlab.local) verwendet, der auf Port 1433 unter der Cluster-IP-Adresse 192.168.8.135/4 ausgeführt wird. Der Cluster ist Aktiv/Passiv, und das SQL Server-Datenbankmodul wird in der Standardinstanz des ersten Knotens ausgeführt. Allgemeine Informationen zur DNS-Konfiguration finden Sie unter Verwalten von DNSEinträgen. In diesem Beispiel wurde ein DNS (A)-Eintrag für den SQL Server-Cluster konfiguriert. 88 Kerberos-Authentifizierung für SQL OLTP (SharePoint Server 2010) Hinweis: Da SQL Server-SPNs einen Instanzennamen enthalten (wenn die zweite benannte Instanz auf dem gleichen Computer verwendet wird), kann der DNS-Host für den Cluster rein technisch als CNAME-Alias registriert und so das in Anhang A, Bekannte KerberosKonfigurationsprobleme (SharePoint Server 2010), beschriebene CNAME-Problem vermieden werden. Wenn Sie CNAME-Einträge verwenden möchten, sollten Sie mithilfe des DNS (A)-Eintragshostnamens für die CNAME-Aliase einen SPN registrieren. Konfigurieren von Active Directory Damit die Kerberos-Authentifizierung für Clients von SQL Server verwendet werden kann, müssen Sie einen Dienstprinzipalnamen (SPN) für das Dienstkonto registrieren, mit dem SQL Server ausgeführt wird. Dienstprinzipalnamen für das SQL ServerDatenbankmodul weisen bei Konfigurationen, die die Standardinstanz anstelle der benannten SQL Server-Instanz verwenden, folgendes Format auf: 89 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte MSSQLSvc/<FQDN>:Port Weitere Informationen zum Registrieren von Dienstprinzipalnamen für SQL Server 2008 finden Sie unter Registrieren eines Dienstprinzipalnamens. Im Beispiel wurde der SQL Server-SPN im Dienstkonto des SQL Server-Datenbankmoduls (vmlab\svcSQL) mit dem folgenden SetSPN-Befehl konfiguriert: SetSPN -S MSSQLSVC/MySQLCluster.vmlab.local:1433 vmlab\svcSQL Benannte SQL Server-Instanzen Wenn Sie anstelle der Standardinstanz benannte SQL Server-Instanzen verwenden, müssen Sie Dienstprinzipalnamen speziell für die SQL Server-Instanz und für den SQL Server-Browser-Dienst registrieren. Weitere Informationen zum Konfigurieren der Kerberos-Authentifizierung für benannte Instanzen finden Sie unter: Registrieren eines Dienstprinzipalnamens Ein SPN für den SQL Server-Browser-Dienst ist erforderlich, wenn Sie eine Verbindung zu einer benannten Instanz von SQL Server Analysis Services oder SQL Server herstellen SQL-Aliase Eine bewährte Vorgehensweise beim Erstellen einer Farm besteht darin, SQL-Aliase für Verbindungen zum SQL Server-Computer zu verwenden. Das Kerberos-Format des SPN bleibt bei der Verwendung von SQL-Aliasen unverändert. Sie verwenden auch weiterhin den registrierten DNS-Hostnamen (A-Eintrag) im SPN für SQL Server. Wenn Sie beispielsweise den Alias „SPFARMSQL“ für „MySQLCluster.vmlab.local“ registrieren, lautet der SPN für die Verbindung mit SPFarmSQL weiterhin „MSSQLSVC/MySQLCluster.vmlab.local:1433“. Überprüfen der SQL Server-Kerberos-Konfiguration Nachdem das DNS und die Dienstprinzipalnamen konfiguriert wurden, können Sie die Computer mit SharePoint Server neu starten und überprüfen, ob die Authentifizierung der SharePoint Server-Dienste für SQL Server jetzt mit dem Kerberos-Protokoll durchgeführt wird. 90 Kerberos-Authentifizierung für SQL OLTP (SharePoint Server 2010) So überprüfen Sie die Clusterkonfiguration 1. Starten Sie die Computer mit SharePoint Server neu – Dadurch werden alle Dienste neu gestartet und gezwungen, das Herstellen der Verbindung sowie die Authentifizierung unter Verwendung des Kerberos-Protokolls zu wiederholen. 2. Öffnen Sie SQL Server Management Studio, und führen Sie folgende Abfrage aus: Select s.session_id, s.login_name, s.host_name, c.auth_scheme from sys.dm_exec_connections c inner join sys.dm_exec_sessions s on c.session_id = s.session_id Die Abfrage gibt Metadaten zu den einzelnen Verbindungen und Sitzungen zurück. Mithilfe der Sitzungsdaten können die Verbindungsquelle sowie das Authentifizierungsschema für die Verbindung identifiziert werden. 3. Vergewissern Sie sich, dass die SharePoint Server-Dienste mit dem KerberosProtokoll authentifiziert werden. 4. Wenn die Kerberos-Authentifizierung ordnungsgemäß konfiguriert wurde, finden Sie in der Spalte auth_scheme der Abfrage den Eintrag Kerberos. 91 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Erstellen einer SQL Server-Testdatenbank sowie einer Testtabelle Um die Delegierung für die verschiedenen SharePoint Server-Dienstanwendungen zu testen, die in den Szenarien in diesem Dokument behandelt werden, müssen Sie eine Testdatenquelle konfigurieren, auf die die Dienste zugreifen können. Zum Abschluss dieses Szenarios konfigurieren Sie die Testdatenbank „Test“ und die Testtabelle „Sales“ für die spätere Verwendung. 1. Erstellen Sie in SQL Server Management Studio die neue Datenbank „Test“ mit den Standardeinstellungen. 2. Erstellen Sie in der Datenbank „Test“ eine neue Tabelle mit dem folgenden Schema: Spaltenname Datentyp NULL-Werte zulassen Region nvarchar(10) Nein Jahr nvarchar(4) Nein Betrag money Nein RowId int Nein 3. Speichern Sie die Tabelle unter dem Namen „Sales“. 4. Füllen Sie die Tabelle in Management Studio mit den Testdaten. Die Daten selbst spielen keine Rolle und wirken sich nicht auf die Funktion späterer Szenarien aus. Es werden nur wenige Datenzeilen benötigt. In der Beispielumgebung wurde die Tabelle mit den folgenden Daten aufgefüllt: 92 Kerberos-Authentifizierung für SQL OLTP (SharePoint Server 2010) 93 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Kerberos-Authentifizierung für SQL Server Analysis Services (SharePoint Server 2010) Veröffentlichung: 02.12.10 In diesem Szenario führen Sie die folgenden Aufgaben aus: Konfigurieren der Analysis Services-Instanzen im Servercluster mit SQL Server 2008 R2 für die Verwendung von Kerberos-Authentifizierung Sicherstellen, dass der Client sich mithilfe von Kerberos-Authentifizierung beim Cluster authentifizieren kann Das Aktivieren der Kerberos-Authentifizierung für SQL Server Analysis Services ist ähnlich wie bei SQL Server. Hinweis: Bei einer Installation unter Windows Server 2008 muss ggf. der folgende Hotfix für die Kerberos-Authentifizierung installiert werden: Kerberos-Authentifizierung misslingt bei Verwenden des AES-Algorithmus auf einem Computer mit Windows Server 2008 oder Windows Vista mit dem Fehlercode 0X80090302 oder 0x8009030f (http://support.microsoft.com/kb/969083/de-de) Checkliste für die Konfiguration Konfigurationsbereich Beschreibung Konfigurieren von Active Directory Dienstprinzipalnamen (Service Principal Names, SPNs) für die Analysis Services-Instanz erstellen SQL-Kerberos-Konfiguration Verbindung mit der Analysis Services-Instanz in überprüfen Excel 2010 herstellen 94 Kerberos-Authentifizierung für SQL Server Analysis Services (SharePoint Server 2010) Schrittweise Konfigurationsanweisungen Konfigurieren von Active Directory Damit die Kerberos-Authentifizierung für Clients von SQL Server Analysis Services verwendet werden kann, müssen Sie einen Dienstprinzipalnamen (SPN) für das Dienstkonto registrieren, mit dem SQL Server ausgeführt wird. Der Dienstprinzipalname für eine standardmäßige Analysis Services-Instanz hat das folgende Format: MSOLAPSvc.3/<FQDN> Wenn Sie eine benannte Instanz von Analysis Services verwenden, denken Sie daran, dass Sie nach dem Doppelpunkt keinen Port angeben können. Wenn Sie dies tun, wird er als Teil des Host- oder Domänennamens interpretiert. Sie müssen stattdessen den tatsächlichen Namen der Instanz verwenden, damit alle Funktionen ordnungsgemäß arbeiten. MSOLAPSvc.3/<FQDN>:Instanzname Weitere Informationen zum Registrieren von Dienstprinzipalnamen für SQL Server 2008 finden Sie unter http://support.microsoft.com/kb/917409/de-de. Bei diesem Szenario wird von einer standardmäßigen Analysis Services-Instanz ausgegangen. Wir konfigurieren den Dienstprinzipalnamen für Analysis Services auf dem Analysis Services-Dienstkonto (vmlab\svcSQLAS) mit dem folgenden SetSPN-Befehl: SetSPN -S MSOLAPSvc.3/MySQLCluster.vmlab.local vmlab\svcSQLAS Benannte SQL Server-Instanzen Wenn Sie anstelle der Standardinstanz benannte SQL Server-Instanzen verwenden, müssen Sie Dienstprinzipalnamen speziell für die SQL Server-Instanz und für den SQL Server-Browser-Dienst registrieren. Weitere Informationen zum Konfigurieren der Kerberos-Authentifizierung für benannte Instanzen finden Sie unter: Registrieren eines Dienstprinzipalnamens Ein SPN für den SQL Server-Browser-Dienst ist erforderlich, wenn Sie eine Verbindung zu einer benannten Instanz von SQL Server Analysis Services oder SQL Server herstellen 95 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Überprüfen der SQL Server-Kerberos-Konfiguration Nachdem Sie den Dienstprinzipalnamen konfiguriert haben, überprüfen Sie die Kerberos-Verbindung zum Cluster mithilfe von Excel 2010. 1. Öffnen Sie Excel 2010 auf dem Clientcomputer mithilfe eines Domänenkontos, das Zugriff auf mindestens eine Datenbank in der Analysis Services-Instanz hat. Öffnen Sie außerdem eine Datenverbindung zur Analysis Services-Instanz, indem Sie auf die Registerkarte Daten, dann auf Aus anderen Quellen und anschließend auf Von Analysis Services klicken. 2. Geben Sie im Datenverbindungs-Assistent im Feld Servername den Befehl MySQLCluster ein, und klicken Sie auf Weiter. Wenn die Kerberos-Authentifizierung funktioniert, sehen Sie jetzt alle Datenbanken, die Sie entsprechend Ihrer Berechtigungen bereits sehen dürfen. 96 Kerberos-Authentifizierung für SQL Server Analysis Services (SharePoint Server 2010) Hinweis: Wenn Sie die AdventureWorks 2008 R2-Beispieldatenbanken verwenden möchten, laden Sie sie von der Website Microsoft SQL Server-Community-Projekte und -Beispiele herunter, und befolgen Sie die Installationsanweisungen. 3. Öffnen Sie die Ereignisanzeige auf dem Datenbankserver (vmsql2k8r2-01). Im Sicherheitsprotokoll sollten Sie jetzt einen Eintrag für die erfolgreiche Überwachung sehen, ähnlich dem Eintrag in den Überprüfungsschritten für Szenario 2, KerberosAuthentifizierung für SQL OLTP (SharePoint Server 2010). 97 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 98 Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010) Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010) Veröffentlichung: 02.12.10 In diesem Szenario konfigurieren Sie zwei Server mit SQL Server Reporting Services (SSRS) mit Lastenausgleich in einer horizontal skalierten Konfiguration, die im integrierten SharePoint-Modus ausgeführt wird. Die Server sind so konfiguriert, dass sie Kerberos-Authentifizierung akzeptieren und delegieren die Authentifizierung an einen Back-End-Servercluster mit SQL Server. Die SharePoint Server-Farm und die Reporting Services-Datenquelle befinden sich beide in der gleichen Domäne. Daher konfigurieren wir in diesem Szenario eingeschränkte Kerberos-Delegierung, um die Identitätsdelegierung an die Back-End-Datenquelle zu ermöglichen. Wenn Sie sich bei Datenquellen in anderen Domänen in der gleichen Gesamtstruktur authentifizieren müssen, müssen Sie einfache (nicht eingeschränkte) Kerberos-Delegierung konfigurieren. Denken Sie daran, dass Reporting Services den Forderungen-zu-Windows-Tokens-Dienst (C2WTS) nicht nutzt und daher einfache Delegierung verwenden kann. Hinweis: Bei einer Installation unter Windows Server 2008 muss ggf. der folgende Hotfix für die Kerberos-Authentifizierung installiert werden: Kerberos-Authentifizierung misslingt bei Verwenden des AES-Algorithmus auf einem Computer mit Windows Server 2008 oder Windows Vista mit dem Fehlercode 0X80090302 oder 0x8009030f (http://support.microsoft.com/kb/969083/de-de) 99 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Voraussetzungen für dieses Szenario Szenario 1: Kernkonfiguration Szenario 2: Kerberos-Authentifizierung für SQL OLTP (Optional) Szenario 3: Kerberos-Authentifizierung für SQL Server Analysis Services Checkliste für die Konfiguration Konfigurationsbereich Beschreibung Active Directory Erstellen eines SSRS-Dienstkontos Eingeschränkte Kerberos-Delegierung konfigurieren SQL Server Reporting Services SSRS im Modus für horizontale Skalierung mit Lastenausgleich installieren und konfigurieren Web.Config ändern Ändern von „ReportingServer.config“ Konfigurieren von SharePoint Server Integration von Reporting Services konfigurieren Der Integration einen Berichtsserver hinzufügen Festlegen von Standardwerten für Server Überprüfen der Konfiguration Erstellen einer Dokumentbibliothek für Berichte Websitesammlungseinstellungen für Reporting Services konfigurieren Einen Testbericht in SQL Server Business Intelligence Development Studio erstellen und veröffentlichen Anzeigen des Testberichts in Internet Explorer 100 Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010) Details der Szenarioumgebung SQL Reporting Services Service Account Vmlab\svcSQLRS SPN: HTTP/FarmReports HTTP/FarmReports.vmlab.local Kerberos delegation App Pool Identities SQL Database Engine Identity Vmlab\svcSQL SPN: MSSQLSVC/MySqlCluster.vmlab.local:1433 Kerberos delegation SSRS SQL vmSQL2k8r2-01 Default Instance Port: 1433 vmSP10WFE01 vmSQL2k8r2-RS01 vmSQL2k8r2-02 vmSP10WFE02 vmSQL2k8r2-RS02 SSRS NLB Group DNS (A): FarmReports.vmlab.local SQL Cluster DNS (A): MySQLCluster.vmlab.local In diesem Szenario sind die Anwendungspool-Dienstkonten für Internetinformationsdienste (Internet Information Services, IIS) so konfiguriert, dass eine Delegierung an den Dienst SQL Server Reporting Services (SSRS) erfolgt. Das SSRSDienstkonto ist für die Delegierung von Anmeldeinformationen an den SQL ServerDienst konfiguriert. Beachten Sie, dass SQL Server Reporting Services im integrierten SharePoint-Modus keine Forderungsauthentifizierung zwischen Farmen verwendet und daher Kerberos-Authentifizierung für die delegierte Authentifizierung erfordert. Weitere Informationen finden Sie unter Anspruchsauthentifizierung und Reporting Services. Domänenübergreifende KerberosDelegierung Im aktuellen Beispiel befindet sich die Datenquelle, mit der SSRS eine Verbindung herstellt, in der gleichen Domäne wie die SSRS-Server. In bestimmten Situationen ist es vielleicht erforderlich, auf Datenquellen außerhalb der Domäne zuzugreifen, in der sich SSRS befindet. Für die Authentifizierung mit domänenübergreifender Delegierung müssen Sie auf dem SSRS-Dienstkonto einfache (nicht eingeschränkte) Delegierung konfigurieren. Denken Sie daran, dass dies möglich ist, weil der SSRS-Dienst den Forderungen-zu-Windows-Tokens-Dienst (C2WTS) nicht verwendet und daher kein 101 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Protokollübergang über eingeschränkte Kerberos-Delegierung erforderlich ist. Beachten Sie auch, dass gesamtstrukturübergreifende Delegierung nicht möglich ist, auch nicht bei einfacher Delegierung. Schrittweise Konfigurationsanweisungen Konfigurieren von DNS Konfigurieren Sie DNS für die SSRS-NLB-Servergruppe (Network Load Balancing) in der vorgesehenen Umgebung. In diesem Beispiel werden zwei SSRS-Server verwendet, VMSSRS01 und VMSSRS02, für die ein Lastenausgleich durchgeführt wird und die zur gleichen NLB-VIP (192.168.24.180/24) aufgelöst werden. Die VIP wird auf den Host „FarmReports“ abgebildet und hat die URL http://FarmReports. Allgemeine Informationen zur DNS-Konfiguration finden Sie unter Verwalten von DNSEinträgen. Konfigurieren Sie einen neuen DNS-A-Eintrag für den SSRS-Host. Im aktuellen Beispiel wird der Host „FarmReports“ so konfiguriert, dass er zu der VIP mit Lastenausgleich aufgelöst wird. 102 Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010) Active Directory-Verzeichnisdienst Erstellen eines SSRS-Dienstkontos Es wird empfohlen, SQL Server Reporting Services unter seiner eigenen Domänenidentität auszuführen. Bei diesem Beispiel wurden die folgenden Konten erstellt: Dienst Dienstidentität SQL Server Reporting Services vmlab\svcSQLRS Konfigurieren von Dienstprinzipalnamen Damit SSRS mithilfe von Kerberos-Authentifizierung eine Verbindung zu externen Datenquellen herstellt und bei diesen Datenquellen eine Authentifizierung durchführt, müssen für die Dienstkonten des Berichtsserver-Webdiensts und des Berichts-Managers und für das Dienstkonto für die externe Datenquelle Dienstprinzipalnamen konfiguriert sein. Informationen zum Konfigurieren und Validieren der erforderlichen Dienstprinzipalnamen für die Dienstkonten der SharePoint Server-Webanwendungen und von SQL Server finden Sie in den Szenarien 1 und 2 (Kernkonfiguration und Kerberos-Authentifizierung für SQL OLTP) in dieser Artikelreihe. Für die SSRS-Server wurden die folgenden Dienstprinzipalnamen definiert: DNS-Host IIS-Anwendungspoolidentität Dienstprinzipalnamen FarmReports.vmlab.local vmlab\svcSQLRS HTTP/FarmReports HTTP/FarmReports.vmlab.local In diesem Beispiel wurden die folgenden Befehle ausgeführt: SetSPN -S HTTP/FarmReports vmlab\svcSQLRS SetSPN -S HTTP/FarmReports.vmlab.local vmlab\svcSQLRS 103 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Konfigurieren der Delegierung Kerberos-Delegierung muss konfiguriert werden, damit SSRS die Identität des Clients an die Back-End-Datenquelle delegiert. In diesem Beispiel fragt SSRS Daten aus einer transaktionalen SQL Server-Datenbank unter Verwendung der Identität des Clients ab. Deshalb ist Kerberos-Delegierung erforderlich. Die eingeschränkte Kerberos-Delegierung ist in diesem Szenario keine Notwendigkeit (weil kein Protokollübergang erforderlich ist), es empfiehlt sich aber im Sinne einer Best Practice, sie zu konfigurieren. Das SSRS-Dienstkonto, unter dem die SSRS-Dienste ausgeführt werden, muss vertrauenswürdig sein, damit die Anmeldeinformationen an die einzelnen Back-EndDienste delegiert werden. In unserem Beispiel werden die folgenden Delegierungspfade benötigt: Prinzipaltyp Prinzipalname Dienst, an den delegiert wird User Vmlab\svcPortal10App HTTP/FarmReports HTTP/FarmReports.vmlab.local User Vmlab\svcSQLRS MSSQLSVC/MySqlCluster.vmlab.local:1433 Optional können Sie die folgenden Delegierungspfade konfigurieren, wenn Berichte mit Analysis Services-Datenquellen ausgeführt werden sollen: Prinzipaltyp Prinzipalname Dienst, an den delegiert wird User Vmlab\svcSQLRS MSOLAPSvc.3/MySqlCluster.vmlab.local So konfigurieren Sie die eingeschränkte Delegierung 1. Öffnen Sie in Active Directory-Benutzer und -Computer die Eigenschaften des Active Directory-Objekts. 2. Navigieren Sie zur Registerkarte Delegierung. 104 Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010) 3. Wählen Sie Benutzer bei Delegierungen angegebener Dienste vertrauen aus. Hinweis: Wenn Sie eine Authentifizierung bei Datenquellen innerhalb derselben Gesamtstruktur, aber außerhalb der Domäne, in der sich der SSRS-Server befindet, durchführen müssen, konfigurieren Sie für das SSRS-Dienstkonto einfache Delegierung statt eingeschränkter Delegierung. Dazu wählen Sie die Option Computer bei Delegierungen aller Dienste vertrauen. Denken Sie daran, dass eine gesamtstrukturübergreifende KerberosDelegierung nicht möglich ist. 4. Wählen Sie optional Beliebiges Authentifizierungsprotokoll verwenden aus. Dadurch wird der Protokollübergang aktiviert. 105 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 5. Klicken Sie auf die Schaltfläche Hinzufügen, um den Dienstprinzipal auszuwählen, an den delegiert werden kann. 6. Klicken Sie auf Benutzer und Computer. 7. Wählen Sie das Dienstkonto aus, unter dem der Dienst ausgeführt wird, an den die Delegierung erfolgen soll. Im aktuellen Beispiel ist dies das Dienstkonto für SQL Server Reporting Services. 106 Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010) Hinweis: Dem ausgewählten Dienstkonto muss ein Dienstprinzipalname zugeordnet sein. In unserem Beispiel war der Dienstprinzipalname für dieses Konto (HTTP/FarmReports.vmlab.local) in einem früheren Schritt in diesem Szenario konfiguriert worden. 8. Klicken Sie auf OK. Anschließend werden Sie aufgefordert, auf der folgenden Seite die Dienstprinzipalnamen auszuwählen, an die delegiert werden soll. 9. Wählen Sie den Dienst aus, oder wählen Sie Alles markieren aus, und klicken Sie auf OK. Die ausgewählten Dienstprinzipalnamen sollten nun in der Liste Dienste, für die dieses Konto delegierte Anmeldeinformationen verwenden kann angezeigt werden: 107 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 10. Wiederholen Sie diese Schritte für jeden Delegierungspfad, der weiter oben in diesem Abschnitt angegeben wurde. Sie müssen die Delegierung vom SQL Server Reporting Services-Dienstkonto zu einer oder mehreren Back-End-Datenquellen (in unseren Szenarien SQL OLTP oder SQL AS) konfigurieren. 108 Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010) Hinweis: Wenn Sie eine Authentifizierung bei Datenquellen innerhalb derselben Gesamtstruktur, aber außerhalb der Domäne, in der sich der SSRS-Server befindet, durchführen müssen, konfigurieren Sie für das SSRS-Dienstkonto einfache Delegierung statt eingeschränkter Delegierung. Dazu wählen Sie die Option Computer bei Delegierungen aller Dienste vertrauen. Denken Sie daran, dass eine gesamtstrukturübergreifende KerberosDelegierung nicht möglich ist. Überprüfen des MSSQLSVC-Dienstprinzipalnamens für das Dienstkonto, unter dem der Dienst auf dem Server mit SQL Server ausgeführt wird (Szenario 2) Stellen Sie sicher, dass der Dienstprinzipalname für das Analysis Services-Dienstkonto (vmlab\svcSQL) vorhanden ist, indem Sie den folgenden SetSPN-Befehl verwenden: SetSPN -L vmlab\svcSQL Folgendes sollte angezeigt werden: MSOLAPSvc.3/MySqlCluster MSSQLSVC/MySqlCluster.vmlab.local:1433 Überprüfen des MSOLAPSvc.3-Dienstprinzipalnamens für das Dienstkonto, unter dem der SSAS-Dienst auf dem Server mit SQL Server Analysis Services ausgeführt wird (Szenario 3) Stellen Sie sicher, dass der Dienstprinzipalname für das SQL Server-Dienstkonto (vmlab\svcSQLAS) vorhanden ist, indem Sie den folgenden SetSPN-Befehl verwenden: SetSPN -L vmlab\svcSQLAS Folgendes sollte angezeigt werden: MSOLAPSvc.3/MySqlCluster MSOLAPSvc.3/MySqlCluster.vmlab.local 109 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte SQL Server Reporting Services Installieren von SharePoint Server 2010 Für SQL Server Reporting Services muss SharePoint Server 2010 auf jedem SSRS-Server installiert sein, damit SSRS im integrierten SharePoint-Modus ausgeführt wird. Installieren Sie SharePoint Server 2010 auf jedem Berichtsserver, und fügen Sie jeden Server der SharePoint Server-Farm hinzu. Installieren und konfigurieren von SSRS im Modus für horizontale Skalierung mit Lastenausgleich Eine detaillierte Schritt-für-Schritt-Anleitung zum Konfigurieren von SQL Server Reporting Services im Modus für horizontale Skalierung mit Lastenausgleich würde den Rahmen dieses Dokuments sprengen. Ausführliche Anweisungen zum Installieren von SSRS finden Sie unter Bereitstellungstopologien für Reporting Services im integrierten SharePoint-Modus. Führen Sie nach der Installation von SSRS die unten beschriebenen zusätzlichen Schritte zur Konfiguration von SSRS aus, um die Installation abzuschließen. Ändern von „Web.config“ auf den SSRS-Servern Die folgenden Änderungen müssen an den web.config-Dateien auf jedem SSRS-Server vorgenommen werden. Die Datei web.config befindet sich im Verzeichnis Programme, in dem SSRS installiert ist: Hinzufügen des Elements <machineKey> Für SSRS-Server in einer Konfiguration mit Lastenausgleich muss auf allen Servern der gleiche Computerschlüssel festgelegt sein. Fügen Sie das Computerschlüsselelement als untergeordnetes Element des Elements <system.web> in der Datei web.config hinzu. Im Folgenden ein Beispiel für einen Computerschlüssel: <machineKey validationKey="54AEBD3BC893726E9B84D30F4970CB58F2086C2DAEE2F8D34A65A0632F4676DDB BC38779F2972C6596931E 13BD07A772BD4B9395BE38A43E461079E45D594E53" decryptionKey="" validation="SHA1" decryption="AES" /> 110 Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010) Wichtig: VERWENDEN SIE DEN BEISPIELCOMPUTERSCHLÜSSEL NICHT IN IHRER UMGEBUNG. Generieren Sie für Ihre Umgebung eigene Schlüsselwerte. Ändern von „ReportingServer.config“ Die folgenden Änderungen müssen an den ReportingServer.config-Dateien auf jedem SSRS-Server vorgenommen werden. Die Datei ReportingServer.config befindet sich im Verzeichnis Programme, in dem SSRS installiert ist: Aktivieren der Kerberos-Authentifizierung Zum Aktivieren der Kerberos-Authentifizierung legen Sie den Authentifizierungstyp auf „RSWindowsNegotiate“ fest. Ändern Sie das Element <AuthenticationTypes/> und fügen Sie <RSWindowsNegotiate/> hinzu <AuthenticationTypes> <RSWindowsNegotiate/> </AuthenticationTypes> Ändern des URL-Stamms Fügen Sie die URL für den Berichtsserver dem Tag <UrlRoot> im Tag <service> von ReportingServer.Config hinzu. <UrlRoot>http://FarmReports/reportserver</UrlRoot> Konfigurieren von „BackConnectionHostNames“ in der Registrierung Damit SQL Server Reporting Services sich gegenseitig auf einem einzigen Computer authentifizieren können, muss NTLM-Loopbackerkennung adressiert werden. Es empfiehlt sich, anstatt die Loopbackerkennung zu deaktivieren, den „BackConnectionHostNames“-Wert in der Registrierung jedes SSRS-Servers zu konfigurieren. Weitere Informationen zu BackConnectionHostNames finden Sie unter 111 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Wenn Sie SQL Server 2008 Reporting Services verwenden, wird die folgende Fehlermeldung angezeigt:. Im aktuellen Beispiel konfigurieren wir die folgenden Werte für BackConnectionHostNames: FarmReports FarmReports.vmlab.local Nachdem Sie die Werte für BackConnectionHostNames festgelegt haben, starten Sie den SSRS-Server neu. Konfigurieren von SharePoint Server In der Zentraladministration finden Sie die Farmkonfigurationsoptionen für SSRS. Beachten Sie, dass Sie in SharePoint Server 2010 keine separate SSRSKomponenteninstallation für SSRS-Administration und Webparts installieren müssen. Die SSRS-Farmoptionen finden Sie in der Zentraladministration im Abschnitt Allgemeine Anwendungseinstellungen unter Reporting Services. 112 Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010) Erteilen von Berechtigungen zur Inhaltsdatenbank der Webanwendung für das Reporting Services-Dienstkonto Ein erforderlicher Schritt beim Konfigurieren von SQL Server Reporting Services im integrierten SharePoint-Modus besteht darin, dem Reporting Services-Dienstkonto Zugriff auf die Inhaltsdatenbanken für Webanwendungen zu gewähren, die Berichte hosten. In unserem Beispiel erteilten wir dem Reporting Services-Konto mithilfe von Windows PowerShell Zugriff auf die Inhaltsdatenbank der Webanwendung „Portal“. Führen Sie den folgenden Befehl an der SharePoint 2010-Verwaltungsshell aus: $w = Get-SPWebApplication -Identity http://portal $w.GrantAccessToProcessIdentity("vmlab\svcSQLRS") Konfigurieren der Integration von Reporting Services Geben Sie im Dialogfeld Reporting Services-Integration die Lastenausgleichs-URL des Berichtsservers an. Wählen Sie außerdem die Option Feature in allen vorhandenen Sammlungen aktivieren, damit das Reporting Services-Feature automatisch in den Websitesammlungen aktiviert wird. 113 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Hinzufügen der einzelnen Berichtsserver zur Integration Geben Sie im Dialogfeld Berichtsserver zur Integration hinzufügen jeden Knoten der Reporting Services-NLB-Gruppe an. Sie müssen dieses Dialogfeld für jeden Server öffnen, den Sie der Integration hinzufügen. Es besteht keine Möglichkeit, mehrere Server in einem einzigen Arbeitsschritt hinzuzufügen. Festlegen von Standardwerten für Server Die SSRS-Integration sollte jetzt konfiguriert sein. Zum Überprüfen der Konfiguration öffnen Sie die Seite Serverstandardwerte. Für das Beispiel im vorliegenden Dokument sind keine Änderungen erforderlich. 114 Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010) Überprüfen der Konfiguration Erstellen einer Dokumentbibliothek für Berichte Erstellen Sie eine Dokumentbibliothek zum Hosten von SSRS-Berichten in der SharePoint-Website. Im aktuellen Beispiel wird davon ausgegangen, dass eine Dokumentbibliothek namens „Reports“ unter http://portal/reports vorhanden ist. 115 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Validieren der Websitesammlungseinstellungen für Reporting Services Navigieren Sie im Browser zu den Websiteeinstellungen der Website, von der die Dokumentbibliothek für SSRS-Berichte gehostet wird. In den Websiteeinstellungen sollte eine neue Kategorie namens Reporting Services angezeigt werden. Wenn Sie das Feature Reporting Services nicht in der Liste der Websitesammlungsfeatures sehen, müssen Sie es u. U. über die Zentraladministration aktivieren. Weitere Informationen finden Sie unter Vorgehensweise: Aktivieren der Berichtsserverfunktion in der SharePoint-Zentraladministration (http://go.microsoft.com/fwlink/?LinkId=196878&clcid=0x407). Klicken Sie auf den Link für die Websiteeinstellungen für Reporting Services, um sich zu vergewissern, dass Sie auf die Einstellungen zugreifen können. 116 Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010) Hinweis: Für die vorliegende Demo sind keine Änderungen an den Reporting ServicesWebsiteeinstellungen erforderlich. Erstellen und Veröffentlichen eines Testberichts in SQL Server Business Intelligence Development Studio Nachdem Sie SSRS und die Integration in SharePoint Server konfiguriert haben, erstellen Sie einen Testbericht, um sicherzustellen, dass die Identitätsdelegierung ordnungsgemäß funktioniert. 1. Öffnen Sie SQL Server Business Intelligence Development Studio. Klicken Sie auf Datei, zeigen Sie auf Neu, und klicken Sie dann auf Projekt. 117 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 2. Wählen Sie Berichtsserverprojekt-Assistent aus, und geben Sie einen Projektnamen ein. 3. Konfigurieren Sie als Nächstes eine neue Datenquelle. Wählen Sie den Typ Microsoft SQL Server aus, und klicken Sie auf die Schaltfläche Bearbeiten. 118 Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010) 4. Geben Sie unter Verbindungseigenschaften die Informationen zum Herstellen der Verbindung zum Demo-SQL Server-Cluster ein, der in Szenario 2 erstellt wurde. 119 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 5. Öffnen Sie den Abfrage-Designer, klicken Sie mit der rechten Maustaste in das Abfragefenster, und wählen Sie Tabelle hinzufügen aus. 120 Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010) 6. Wählen Sie die Tabelle Sales aus (in Szenario 2 erstellt) und dann Alle Spalten. 121 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 7. Wählen Sie einen tabellarischen Berichtstyp aus. 122 Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010) 8. Im aktuellen Beispiel wird nach Region gruppiert. Diesen Schritt können Sie überspringen, wenn Sie möchten. 9. Sobald das Projekt erstellt ist, öffnen Sie über das Menü Projekt die Projekteigenschaften. 123 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 10. Konfigurieren Sie die folgenden Projekteigenschaften: a) TargetDatasetFolder – Auf den zuvor erstellten Testberichtordner festlegen b) TargetDatasetFolder – Auf den zuvor erstellten Testberichtordner festlegen c) TargetReportFolder – Auf den zuvor erstellten Testberichtsordner festlegen d) TargetReportPartFolder – Auf den zuvor erstellten Testberichtsordner festlegen e) TargetServerURL – Auf die URL der Webanwendung festlegen, die den Bericht hostet 124 Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010) 11. Stellen Sie den Bericht in der SharePoint-Bibliothek bereit. Wählen Sie im Menü Erstellen den Befehl <Projektname> bereitstellen aus. 12. Wenn das Projekt erfolgreich bereitgestellt wurde, wird im Fenster Ausgabe eine entsprechende Meldung angezeigt. 125 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Anzeigen des Testberichts in Internet Explorer Öffnen Sie die Berichtsdokumentbibliothek, die Sie in den vorherigen Schritten dieses Szenarios erstellt haben, im Browser. Sie sollten die Berichtsdatei sehen, die Sie soeben veröffentlicht haben. Wird der Bericht nicht angezeigt, müssen Sie das Reporting ServicesFeature u. U. in der Websitesammlung aktivieren. Weitere Informationen finden Sie unter Vorgehensweise: Aktivieren der Berichtsserverfunktion in der SharePointZentraladministration (http://go.microsoft.com/fwlink/?LinkID=196878&clcid=0x407). Klicken Sie auf den Bericht. Der Bericht wird im Browser gerendert. 126 Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010) Zur weiteren Überprüfung der Delegierung und der Datenverbindung ändern Sie die Quelldaten in SQL Server Management Studio und aktualisieren die Datenverbindung für den SSRS-Bericht im Browser. Die Datenänderungen sollten im Bericht wiedergegeben werden. SSL-Konfiguration für Reporting Services In manchen Umgebungen ist es möglicherweise erforderlich, die Kommunikation zwischen den Front-End-Webservern und den SSRS-Servern mit SSL zu schützen. Eine detaillierte Schritt-für-Schritt-Anleitung zum Konfigurieren von für Reporting Services übersteigt den Rahmen dieses Artikels. Deshalb sei hier nur eine Zusammenfassung der erforderlichen Schritte gegeben: 1. Konfigurieren Sie jeden Berichtsserver für SSL. Siehe Konfigurieren eines Berichtsservers für SSL-Verbindungen (Secure Sockets Layer) (http://go.microsoft.com/fwlink/?LinkId=196881&clcid=0x407). 2. Aktualisieren Sie die Datei ReportingServer.config. Ändern Sie den <UrlRoot> in die neue https://-URL. 3. Starten Sie den SQL Server Reporting Services-Dienst neu. 127 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 4. Ändern Sie in der Zentraladministration die Einstellungen für die Reporting Services-Integration, und ändern Sie die URL für den Berichtsserver-Webdienst in die neue https://-URL. 5. Starten Sie Internetinformationsdienste (IIS) in jeder Instanz von SharePoint Server neu, in der der Webanwendungsdienst ausgeführt wird. Sie müssen keinen der Dienstprinzipalnamen ändern, die Sie beim Konfigurieren von Reporting Services mit HTTP in den vorherigen Schritten erstellt haben. Der Dienstprinzipalname für einen HTTP-Dienst über SSL bleibt HTTP/<Dienst>. Dies sehen Sie, wenn Sie NetMon verwenden, um den Front-End-Webserver anzuzeigen, der mit dem Reporting Services-Server kommuniziert. Beachten Sie die hervorgehobene Ticket-Granting Service-Anforderung und den angeforderten Sname. Auf den Berichtsserverdienst wurde über „https:// “ zugegriffen, und für den SName im angeforderten Ticket gilt wie erwartet weiter „HTTP/“. Um sicherzustellen, dass das Web-Front-End tatsächlich SSL für die Kommunikation mit dem Berichtsserver verwendet hat, wurde weiterer Datenverkehr erfasst und analysiert: 128 Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010) Beachten Sie, dass alle Anforderung vom Web-Front-End an den Berichtsserver über SSL geschützt sind. Dies bestätigt, dass SSL für die Kommunikation zwischen den Web-FrontEnds und dem Berichtsserver verwendet wurde. 129 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Identitätsdelegierung für Excel Services (SharePoint Server 2010) Veröffentlichung: 02.12.10 In diesem Szenario fügen Sie die Excel Services-Dienstanwendung der SharePoint ServerUmgebung hinzu. Anschließend konfigurieren Sie die eingeschränkte KerberosDelegierung, damit der Dienst Daten auf einem Arbeitsblatt in einer SQL ServerDatenquelle aktualisiert. Hinweis: Bei einer Installation unter Windows Server 2008 muss ggf. der folgende Hotfix für die Kerberos-Authentifizierung installiert werden: Kerberos-Authentifizierung misslingt bei Verwenden des AES-Algorithmus auf einem Computer mit Windows Server 2008 oder Windows Vista mit dem Fehlercode 0X80090302 oder 0x8009030f (http://support.microsoft.com/kb/969083/de-de) Voraussetzungen für dieses Szenario Bevor Sie dieses Szenario angehen, müssen die folgenden Aufgaben erledigt sein: Szenario 1: Kernkonfiguration Szenario 2: Kerberos-Authentifizierung für SQL OLTP Checkliste für die Konfiguration Konfigurationsbereich Beschreibung Active DirectoryKonfiguration Erstellen eines Excel Services-Dienstkontos Konfigurieren eines Dienstprinzipalnamens für das Excel Services-Dienstkonto 130 Identitätsdelegierung für Excel Services (SharePoint Server 2010) Konfigurationsbereich Beschreibung Konfigurieren der eingeschränkten Kerberos-Delegierung für Server mit Excel Services Konfigurieren der eingeschränkten Kerberos-Delegierung für das Excel Services-Dienstkonto SharePoint ServerKonfiguration Starten des Forderungen an den Windows-Tokendiensts (C2WTS) auf Servern mit Excel Services Starten der Excel Services-Dienstinstanz auf dem Server mit Excel Services Erstellen der Excel Services-Dienstanwendung und des Proxys Konfigurieren des vertrauenswürdige Dateispeicherorts und von Authentifizierungseinstellungen für Excel Services Überprüfen der Erstellen einer Dokumentbibliothek zum Hosten einer eingeschränkten Excel Testarbeitsmappe Services-Delegierung Erstellen der SQL-Testdatenbank und -tabelle Erstellen einer Excel-Testarbeitsmappe mit SQL-Datenverbindung Veröffentlichen der Arbeitsmappe in SharePoint Server und Aktualisieren der Datenverbindung 131 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Details der Szenarioumgebung Pfade der eingeschränkten Kerberos-Delegierung Kerberos delegation Excel Excel ServicesIdentity Vmlab\svcExcel SPN: SP/Excel SQL c2WTS SQL Database Engine Identity Vmlab\svcSQL SPN: MSSQLSVC/MySqlCluster.vmlab.local:1433 vmSQL2k8r2-01 Default Instance Port: 1433 App Server VMSP10APP01 vmSQL2k8r2-02 SQL Cluster DNS (A): MySQLCluster.vmlab.local In diesem Szenario wird das SharePoint Server Excel Services-Dienstkonto für die eingeschränkte Kerberos-Delegierung für den SQL Server-Dienst konfiguriert. 132 Identitätsdelegierung für Excel Services (SharePoint Server 2010) Hinweis: In diesem Szenario wird der Forderungen an den Windows-Tokendienst für die Verwendung eines dedizierten Dienstkontos konfiguriert. Wenn Sie den Forderungen an den Windows-Tokendienst (C2WTS) weiter das Konto Lokales System verwenden lassen, müssen Sie die eingeschränkte Delegierung für das Computerkonto des Computers konfigurieren, auf dem der Forderungen an den Windows-Tokendienst (C2WTS) und Excel Services ausgeführt werden. Logische SharePoint Server-Authentifizierung STS Kerberos c2WTS Claims Kerberos SharePoint Excel Services SharePoint WFE DataSource Die Authentifizierung in diesem Szenario beginnt mit der Clientauthentifizierung über Kerberos auf dem Web-Front-End-Server. SharePoint Server 2010 wandelt das Windows-Authentifizierungstoken mithilfe des lokalen Sicherheitstokendiensts in ein Forderungstoken um. Die Excel-Dienstanwendung akzeptiert das Forderungstoken und wandelt es mithilfe des zum Windows Identity Framework (WIF) gehörenden Forderungen an den Windows-Tokendiensts (C2WTS) in ein Windows-Token (Kerberos) um. Die Excel-Dienstanwendung verwendet anschließend das Kerberos-Ticket zur Authentifizierung bei der Datenquelle im Back-End. 133 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Schrittweise Konfigurationsanweisungen Active Directory-Konfiguration Erstellen eines Excel Services-Dienstkontos Empfohlen wird, die Excel Services-Anwendung unter ihrer eigenen Domänenidentität auszuführen. Zum Konfigurieren der Excel Services-Anwendung müssen Active DirectoryKonten erstellt werden. Bei diesem Beispiel wurden die folgenden Konten erstellt: SharePoint Server-Dienst IIS-Anwendungspoolidentität Excel Services vmlab\svcExcel Konfigurieren eines Dienstprinzipalnamens für das Excel ServicesDienstkonto Die eingeschränkte Kerberos-Delegierung muss konfiguriert werden, wenn Excel Services die Identität des Clients an die Datenquelle im Back-End zurück delegieren soll. In diesem Beispiel fragt Excel Services Daten aus einer SQL-Transaktionsdatenbank ab, weshalb die Kerberos-Delegierung erforderlich ist. Die Kerberos-Delegierung wird zumeist im Active Directory-Snap-In Benutzer und Computer konfiguriert. Hierfür muss dem zu konfigurierenden Active Directory-Objekt ein Dienstprinzipalname zugeordnet werden. Andernfalls wird die Registerkarte Delegierung des Objekts in dessen Eigenschaftendialogfeld nicht angezeigt. Wenngleich Excel Services für den Betrieb keinen Dienstprinzipalnamen benötigt, wird für diesen Zweck einer konfiguriert. Führen Sie an der Eingabeaufforderung folgenden Befehl aus: SETSPN -S SP/ExcelServices 134 Identitätsdelegierung für Excel Services (SharePoint Server 2010) Hinweis: Der Dienstprinzipalname ist kein gültiger Dienstprinzipalname und wird dem angegebenen Dienstkonto zugeordnet, um die Delegierungsoptionen im Active Directory-Snap-In Benutzer und Computer zu veranschaulichen. Es gibt andere unterstützte Möglichkeiten zur Angabe der Delegierungseinstellungen (insbesondere das Attribut msDSAllowedToDelegateTo), die in diesem Artikel jedoch nicht behandelt werden. Konfigurieren der eingeschränkten Kerberos-Delegierung für Excel Services Damit Excel Services die Identität des Clients delegieren kann, muss die eingeschränkte Kerberos-Delegierung konfiguriert werden. Ferner müssen Sie die eingeschränkte Delegierung mit Protokollübergang für die Umwandlung von Forderungstoken in Windows-Token über den Forderungen an den Windows-Tokendienst von Windows Identity Framework (WIF) konfigurieren. Servern, auf denen Excel Services ausgeführt wird, muss für die Delegierung von Anmeldeinformationen an alle Back-End-Dienste vertraut werden, bei denen sich Excel authentifiziert. Darüber hinaus muss das Excel Services-Dienstkonto ebenfalls für das Zulassen der Delegierung an dieselben Back-End-Dienste konfiguriert werden. In unserem Beispiel werden die folgenden Delegierungspfade definiert: Prinzipaltyp Prinzipalname Erforderliche Stellvertretungen User svcExcel MSSQLSVC/MySqlCluster.vmlab.local:1433 *Benutzer svcC2WTS MSSQLSVC/MySqlCluster.vmlab.local:1433 **Computer VMSP10APP01 MSSQLSVC/MySqlCluster.vmlab.local:1433 * Wird in diesem Szenario später konfiguriert ** Nur erforderlich, wenn der Forderungen an den Windows-Tokendienst (C2WTS) als Lokales System ausgeführt wird 135 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte So konfigurieren Sie die eingeschränkte Delegierung 1. Öffnen Sie die Eigenschaften des Active Directory-Objekts in Active DirectoryBenutzer und -Computer. 2. Navigieren Sie zur Registerkarte Delegierung. 3. Wählen Sie Benutzer bei Delegierungen angegebener Dienste vertrauen aus. 4. Wählen Sie anschließend Beliebiges Authentifizierungsprotokoll verwenden aus. Diese Einstellung ermöglicht den Protokollübergang und ist für das Dienstkonto erforderlich, damit der Forderungen an den Windows-Tokendienst (C2WTS) genutzt werden kann. 136 Identitätsdelegierung für Excel Services (SharePoint Server 2010) 5. Klicken Sie auf die Schaltfläche Hinzufügen, um den Dienstprinzipal auszuwählen, an den die Delegierung erfolgen darf. 6. Wählen Sie Benutzer und Computer aus. 7. Wählen Sie das Dienstkonto aus, mit dem der Dienst ausgeführt wird, an den die Delegierung erfolgen soll. In diesem Beispiel ist dies das Dienstkonto für den SQL Server-Dienst. 137 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Hinweis: Dem ausgewählten Dienstkonto muss ein Dienstprinzipalname zugeordnet sein. In unserem Beispiel wurde der Dienstprinzipalname für dieses Konto in einem vorherigen Szenario konfiguriert. 8. Klicken Sie auf OK. Im folgenden Fenster werden Sie aufgefordert, die Dienstprinzipalnamen auszuwählen, an die die Delegierung erfolgen soll. 9. Wählen Sie die Dienste für den SQL Server-Cluster aus, und klicken Sie auf OK. 10. Die ausgewählten Dienstprinzipalnamen sollten nun in der Liste Dienste, für die dieses Konto delegierte Anmeldeinformationen verwenden kann enthalten sein. 138 Identitätsdelegierung für Excel Services (SharePoint Server 2010) 11. Wiederholen Sie diese Schritte für alle Delegierungspfade, die am Anfang dieses Abschnitts definiert wurden. Überprüfen Sie den MSSQLSVC-Dienstprinzipalnamen für das Dienstkonto, mit dem der Dienst auf dem Server mit SQL Server ausgeführt wird (in Szenario 2 erfolgt). Überprüfen Sie mit dem folgenden SetSPN-Befehl, ob der Dienstprinzipalname für das SQL Server-Dienstkonto (vmlab\svcSQL) vorhanden ist: SetSPN -L vmlab\svcSQL Folgendes sollte angezeigt werden: MSOLAPSvc.3/MySqlCluster MSSQLSVC/MySqlCluster.vmlab.local:1433 139 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte SharePoint Server-Konfiguration Konfigurieren und Starten des Forderungen an den WindowsTokendiensts (C2WTS) auf Servern mit Excel Services Der Forderungen an den Windows-Tokendienst (C2WTS) ist eine Komponente von Windows Identity Foundation (WIF) und für das Umwandeln von Benutzerforderungstoken in Windows-Token zuständig. Dies erfolgt in Excel Services, wenn die Dienste Anmeldeinformationen an ein Back-End-System delegieren müssen, das mit der integrierten Windows-Authentifizierung arbeitet. WIF wird mit SharePoint Server 2010 bereitgestellt, der Forderungen an den Windows-Tokendienst (C2WTS) kann in der Zentraladministration gestartet werden. Auf jedem Excel Services-Anwendungsserver muss der Forderungen an den WindowsTokendienst (C2WTS) lokal ausgeführt werden. Dieser Dienst öffnet keine Ports, und Remoteaufrufer können nicht auf ihn zugreifen. Darüber hinaus muss die Dienstkonfigurationsdatei des Forderungen an den Windows-Tokendiensts (C2WTS) so konfiguriert werden, dass der lokalen aufrufenden Clientidentität vertraut wird. Empfohlen wird, den Forderungen an den Windows-Tokendienst (C2WTS) mit einem dedizierten Dienstkonto und nicht als Lokales System (Standardkonfiguration) auszuführen. Das Dienstkonto des Forderungen an den Windows-Tokendiensts (C2WTS) erfordert spezielle lokale Berechtigungen für jeden Server, auf dem der Dienst ausgeführt wird. Die entsprechenden Berechtigungen müssen jedes Mal konfiguriert werden, wenn der Dienst auf einem Server gestartet wird. Optimal ist die Konfiguration der Berechtigungen des Dienstkontos auf dem lokalen Server, bevor der Forderungen an den Windows-Tokendienst (C2WTS) gestartet wird. Falls dies jedoch im Anschluss erfolgt, können Sie den Forderungen an den Windows-Tokendienst (C2WTS) über die Windows-Dienstverwaltungskonsole (services.msc) neu starten. So starten Sie den Forderungen an den Windows-Tokendienst (C2WTS) 1. Erstellen Sie in Active Directory ein Dienstkonto, unter dem der Dienst ausgeführt wird. In diesem Beispiel wird vmlab\svcC2WTS erstellt. 2. Ordnen Sie dem Dienstkonto einen beliebigen Dienstprinzipalnamen zu, um die Delegierungsoptionen für dieses Konto in Active Directory-Benutzer und -Computer anzuzeigen. Dieser Name darf ein beliebiges Format haben, da beim Forderungen an den Windows-Tokendienst (C2WTS) keine Kerberos-Authentifizierung erfolgt. Es wird empfohlen, keinen HTTP-Dienstprinzipalnamen zu wählen, damit in Ihrer Umgebung keine doppelten Namen generiert werden. Im Beispiel wurde SP/C2WTS bei vmlab\svcC2WTS mit folgendem Befehl registriert: SetSPN -S SP/C2WTS vmlab\svcC2WTS 140 Identitätsdelegierung für Excel Services (SharePoint Server 2010) 3. Konfigurieren Sie die eingeschränkte Kerberos-Delegierung für das Dienstkonto des Forderungen an den Windows-Tokendiensts (C2WTS). In diesem Szenario werden Anmeldeinformationen an den SQL-Dienst delegiert, der mit dem Dienstprinzipalnamen MSSQLSVC/MySqlCluster.vmlab.local:1433 ausgeführt wird. 4. Konfigurieren Sie anschließend die vom Forderungen an den Windows-Tokendienst (C2WTS) benötigten lokalen Serverberechtigungen, die auf allen Servern konfiguriert werden müssen, auf denen der Forderungen an den WindowsTokendienst (C2WTS) ausgeführt wird. In unserem Beispiel ist dies VMSP10APP01. Melden Sie sich an diesem Server an, und erteilen Sie dem Forderungen an den Windows-Tokendienst (C2WTS) die folgenden Berechtigungen: a) Fügen Sie das Dienstkonto der lokalen Gruppe Administratoren hinzu. b) Erteilen Sie in der lokalen Sicherheitsrichtlinie (secpol.msc) unter Zuweisen von Benutzerrechten dem Dienstkonto die folgenden Berechtigungen: 141 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte i. Einsetzen als Teil des Betriebssystems ii. Annehmen der Clientidentität nach Authentifizierung iii. Anmelden als Dienst 5. Öffnen Sie die Zentraladministration. 6. Registrieren Sie im Abschnitt Sicherheit unter Verwaltete Dienstkonten konfigurieren das Dienstkonto des Forderungen an den Windows-Tokendiensts (C2WTS) als verwaltetes Konto. 7. Wählen Sie unter Dienste den Eintrag Dienste auf dem Server verwalten aus. 8. Wählen Sie im Auswahlfeld Server rechts oben den/die Server aus, auf dem/denen Visio Services ausgeführt wird. In diesem Beispiel heißt der Server VMSP10APP01. 9. Navigieren Sie zu Forderungen an den Windows-Tokendienst, und starten Sie den Dienst. 142 Identitätsdelegierung für Excel Services (SharePoint Server 2010) 10. Wechseln Sie im Abschnitt Sicherheit zu Dienstkonten verwalten. Ändern Sie die Identität des Forderungen an den Windows-Tokendiensts (C2WTS) in das neue verwaltete Konto. Hinweis: Wenn der Forderungen an den Windows-Tokendienst (C2WTS) bereits ausgeführt wurde, bevor Sie das dedizierte Dienstkonto konfiguriert haben, oder Sie die Berechtigungen des Dienstkontos nach Start des Forderungen an den Windows-Tokendiensts (C2WTS) ändern müssen, starten Sie den Dienst über die Konsole Dienste neu. Falls darüber hinaus Probleme mit dem Forderungen an den Windows-Tokendienst (C2WTS) nach dem Neustart des Diensts vorliegen sollten, müssen Sie ggf. die IISAnwendungspools zurücksetzen, die mit dem Forderungen an den WindowsTokendienst (C2WTS) kommunizieren. Hinzufügen von Startabhängigkeiten zum Forderungen an den Windows-Tokendienst (C2WTS) im WIF Beim Forderungen an den Windows-Tokendienst (C2WTS) gibt es ein bekanntes Problem. Der Dienst wird bei einem Systemneustart nicht automatisch erfolgreich gestartet. Dieses Problem kann behoben werden, indem für die Kryptografiedienste eine Abhängigkeit konfiguriert wird: 143 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Falls darüber hinaus Probleme mit dem Forderungen an den Windows-Tokendienst (C2WTS) nach dem Neustart des Diensts vorliegen sollten, müssen Sie ggf. die IISAnwendungspools zurücksetzen, die mit dem Forderungen an den WindowsTokendienst (C2WTS) kommunizieren. 1. Öffnen Sie das Eingabeaufforderungsfenster. 2. Geben Sie Folgendes ein: sc config "c2wts" depend= CryptSvc 3. Wechseln Sie in der Konsole Dienste zum Claims to Windows Token Service. 4. Öffnen Sie die Eigenschaften des Diensts. 144 Identitätsdelegierung für Excel Services (SharePoint Server 2010) 5. Überprüfen Sie die RegisterkarteAbhängigkeiten. Prüfen Sie, ob Kryptografiedienste aufgeführt ist. 6. Klicken Sie auf OK. Erteilen von Berechtigungen für die Inhaltsdatenbank der Webanwendung für das Excel Services-Dienstkonto Ein erforderlicher Schritt bei der Konfiguration von SharePoint Server 2010-OfficeWebanwendungen besteht darin, dem Dienstkonto der Webanwendung den Zugriff auf die Inhaltsdatenbanken einer bestimmten Webanwendung zu ermöglichen. In diesem Beispiel wird dem Excel Services-Dienstkonto Zugriff auf die Inhaltsdatenbank der Webanwendung „portal“ über Windows PowerShell erteilt. Führen Sie den folgenden Befehl an der SharePoint 2010-Verwaltungsshell aus: $w = Get-SPWebApplication -Identity http://portal $w.GrantAccessToProcessIdentity("vmlab\svcExcel") Starten der Excel Services-Dienstinstanz auf dem Server mit Excel Services Starten Sie vor dem Erstellen einer Excel Services-Dienstanwendung den Excel ServicesDienst auf den vorgesehenen Farmservern. 145 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 1. Öffnen Sie die Zentraladministration. 2. Wählen Sie unter Dienste den Eintrag Dienste auf dem Server verwalten aus. 3. Wählen Sie im Auswahlfeld Server rechts oben den/die Server aus, auf dem/denen Visio Services ausgeführt wird. In diesem Beispiel heißt der Server VMSP10APP01. 4. Starten Sie die Dienste für Excel-Berechnungen. Erstellen der Excel Services-Dienstanwendung und des Proxys Konfigurieren Sie anschließend eine neue Excel Services-Dienstanwendung und einen Anwendungsproxy, um Webanwendungen die Nutzung von Excel Services zu ermöglichen: 1. Öffnen Sie die Zentraladministration. 2. Klicken Sie unter Anwendungsverwaltung auf Dienstanwendungen verwalten. 146 Identitätsdelegierung für Excel Services (SharePoint Server 2010) 3. Klicken Sie auf Neu und dann auf Excel Services-Anwendung. 4. Konfigurieren Sie die neue Dienstanwendung. Wählen Sie das ordnungsgemäße Dienstkonto aus (erstellen Sie ein neues verwaltetes Konto, falls das Excel ServicesKonto nicht in der Liste enthalten ist). 147 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Konfigurieren des vertrauenswürdige Dateispeicherorts und von Authentifizierungseinstellungen für Excel Services Nach Erstellen der Excel Services-Anwendung müssen Sie die Eigenschaften der neuen Dienstanwendung konfigurieren, um einen vertrauenswürdigen Hostspeicherort und Authentifizierungseinstellungen anzugeben. 1. Öffnen Sie die Zentraladministration. 2. Klicken Sie unter Anwendungsverwaltung auf Dienstanwendungen verwalten. 148 Identitätsdelegierung für Excel Services (SharePoint Server 2010) 3. Klicken Sie auf den Link der neuen Dienstanwendung (in diesem Beispiel Excel Services). 4. Klicken Sie auf dem Bildschirm zur Verwaltung von Excel Services auf Vertrauenswürdige Datenquellen-Speicherorte. 5. Fügen Sie einen neuen vertrauenswürdigen Dateispeicherort hinzu. 149 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 6. Geben Sie den Speicherort für Ihre Testbibliothek an. Hinweis: In diesem Beispiel wird der URL der Stammwebanwendung und allen untergeordneten URLs vertraut. In einer Produktionsumgebung müssen Sie die Vertrauensbeziehung ggf. stärker einschränken. 150 Identitätsdelegierung für Excel Services (SharePoint Server 2010) 7. Wählen Sie unter Externe Daten zulassen die Option Vertrauenswürdige Datenverbindungsbibliotheken und eingebettete Verbindungen aus. Hinweis: In diesem Beispiel wird für die Verbindung mit SQL Server eine eingebettete Verbindung verwendet. In Ihrer Umgebung müssen Sie ggf. eine gesonderte Verbindungsdatei erstellt und diese in einer vertrauenswürdigen Datenverbindungsbibliothek speichern. In diesem Fall können Sie ggf. nur vertrauenswürdige Datenverbindungsbibliotheken auswählen. 8. Ändern Sie die Gültigkeitsdauer des externen Datencaches. Zu Testzwecken empfiehlt es sich, die Gültigkeitsdauer des externen Datencaches zu ändern, um sicherzustellen, dass Datenaktualisierungen aus der Datenquelle und nicht aus dem Cache stammen. Ändern Sie unter Externe Daten die folgenden Einstellungen: Automatische Aktualisierung (in bestimmten Abständen/beim Öffnen) = 0 Manuelle Aktualisierung = 0 Hinweis: In einer Produktionsumgebung sollten Sie eine Cacheeinstellung größer 0 wählen. Das Festlegen des Caches auf 0 ist nur für Testzwecke vorgesehen. 151 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Überprüfen der eingeschränkten Excel ServicesDelegierung Erstellen einer Dokumentbibliothek zum Hosten der Testarbeitsmappe Öffnen Sie eine Website im vertrauenswürdigen Pfad, der im vorherigen Schritt konfiguriert wurde. Erstellen Sie eine neue Dokumentbibliothek zum Hosten einer ExcelTestarbeitsmappe. Erstellen einer Excel-Testarbeitsmappe mit SQL-Datenverbindung Erstellen Sie als Nächstes eine Excel-Arbeitsmappe mit einer Datenverbindung mit der neuen Testdatenbank: 1. Öffnen Sie Excel. 2. Klicken Sie auf der Registerkarte Daten auf Aus anderen Quellen und dann auf Von SQL Server. 3. Stellen Sie eine Verbindung mit der SQL Server-Testdatenquelle her. 152 Identitätsdelegierung für Excel Services (SharePoint Server 2010) 4. Wählen Sie die Testdatenbank und -tabelle aus (Sales in unserem Beispiel). 5. Klicken Sie auf Weiter. Klicken Sie auf die Schaltfläche Authentifizierungseinstellungen. Vergewissern Sie sich, dass WindowsAuthentifizierung angegeben ist. 153 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 6. Klicken Sie auf Fertig stellen. 7. Wählen Sie PivotTable-Bericht aus. 8. Konfigurieren Sie die PivotTable. Stellen Sie sicher, dass Daten aus der SQL ServerQuelle zurückgegeben werden. 154 Identitätsdelegierung für Excel Services (SharePoint Server 2010) Veröffentlichen der Arbeitsmappe in SharePoint Server und Aktualisieren der Datenverbindung Der letzte Schritt bei der Überprüfung der Excel Services-Anwendung ist das Veröffentlichen der Arbeitsmappe und Testen der Aktualisierung der eingebetteten SQL Server-Verbindung. 1. Klicken Sie auf die Registerkarte Datei. 2. Klicken Sie auf Speichern und senden, dann auf In SharePoint speichern und schließlich auf Speicherort suchen. 155 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 3. Geben Sie den Speicherort der in den vorherigen Schritten erstellten vertrauenswürdigen Bibliothek ein. 4. Vergewissern Sie sich, dass Mit Excel im Browser öffnen ausgewählt ist. An dieser Stelle wird ein neues Browserfenster mit Ihrer Testarbeitsmappe angezeigt. Aktualisieren Sie anschließend die Datenverbindung, indem Sie zuerst auf Daten und dann auf Alle Verbindungen aktualisieren klicken. 156 Identitätsdelegierung für Excel Services (SharePoint Server 2010) Wenn die Datenverbindung aktualisiert wird, haben Sie die Kerberos-Delegierung für Excel Services erfolgreich konfiguriert. Ändern Sie zum Testen der Verbindung die Quelldaten in SQL Management Studio, und aktualisieren Sie anschließend die Verbindung. Die geänderten Daten sollten in der Arbeitsmappe angezeigt werden. Wenn keine Änderungen erkennbar sind und bei der Aktualisierung keine Fehler angezeigt werden, sehen Sie höchstwahrscheinlich zwischengespeicherte Daten. Excel Services speichert standardmäßig Daten aus externen Datenquellen fünf Minuten zwischen. Sie können diese Cacheeinstellung ändern. Weitere Informationen finden Sie unter Konfigurieren des vertrauenswürdige Dateispeicherorts und von Authentifizierungseinstellungen für Excel Services in diesem Artikel. 157 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Identitätsdelegierung für PowerPivot für SharePoint 2010 (SharePoint Server 2010) Veröffentlichung: 02.12.10 Die in Umgebung und Farmtopologie beschriebene Farmtopologie benötigt nicht die Kerberos-Authentifizierung, damit PowerPivot für Microsoft SharePoint 2010 funktioniert. Der PowerPivot-Systemdienst unterstützt Ansprüche bzw. Forderungen und verwendet den Forderungen an den Windows-Tokendienst zum erneuten Erstellen der Windows-Identität des Clients mithilfe des Forderungstokens des Clients, um eine Verknüpfung mit dem Analysis Service Vertipaq-Modul herzustellen, das auf dem Anwendungsserver ausgeführt wird. Wenn eine PowerPivot-Arbeitsmappe in SharePoint Server hochgeladen wird, enthält sie bereits die von der Arbeitsmappe genutzten PowerPivot-Daten. Wenn der Benutzer die PowerPivot-Arbeitsmappe in Excel Web Access öffnet und mit den Slicern interagiert, lädt der PowerPivot-Systemdienst die Daten der Arbeitsmappe direkt in das dazugehörige Analysis Services-Modul. Auf die in die Arbeitsmappe eingebettete Datenverbindung erfolgt kein Zugriff. Wenn die Ausführung eines Datenaktualisierungsauftrags für eine PowerPivotArbeitsmappe beginnt, führt der PowerPivot-Systemdienst eine Windows-Anmeldung mithilfe der im Secure Store Service von SharePoint Server gespeicherten Anmeldeinformationen durch. Da die Windows-Identität auf dem Anwendungsserver 158 Identitätsdelegierung für PowerPivot für SharePoint 2010 (SharePoint Server 2010) erstellt wird, ist die Verbindung vom PowerPivot Analysis Services Vertipaq-Modul (auf demselben Computer, VMSP10APP01) mit MySQLCluster der erste NTLM-Hop. Hinweis: Bei einer Installation unter Windows Server 2008 muss ggf. der folgende Hotfix für die Kerberos-Authentifizierung installiert werden: Kerberos-Authentifizierung misslingt bei Verwenden des AES-Algorithmus auf einem Computer mit Windows Server 2008 oder Windows Vista mit dem Fehlercode 0X80090302 oder 0x8009030f (http://support.microsoft.com/kb/969083/de-de) Szenarien, in denen die KerberosAuthentifizierung erforderlich ist Wie Sie sehen, ist in den meisten gängigen Szenarien mit PowerPivot keine KerberosAuthentifizierung erforderlich. Es gibt jedoch einige ungewöhnliche Ausnahmefälle, bei den die Kerberos-Authentifizierung benötigt wird. Wenn beispielsweise Ihre PowerPivot-Arbeitsmappe eine Datenverbindung mit einer SQL Server-Instanz enthält, die mit einer weiteren SQL Server-Instanz auf einem anderen Computer verknüpft ist, müssen Sie die Kerberos-Authentifizierung mit Identitätsdelegierung konfigurieren, damit die Datenaktualisierung funktioniert. Wenn z. B. MySQLCluster mit einer anderen SQL Server-Remoteinstanz verknüpft ist, dann ist die Verknüpfung von MySQLCluster zum verknüpften Remoteserver der zweite Hop. In diesem Fall kann NTLM nicht mehr verwendet werden. Sie müssen die Kerberos-Delegierung konfigurieren, damit die Datenaktualisierung erfolgen kann. 159 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Nachfolgend werden die wichtigsten Schritte zum Konfigurieren der Identitätsdelegierung für PowerPivot beschrieben, die jedoch über den Umfang der Szenarien in diesem Artikel hinausgehen: 1. Ändern des Dienstkontos des Forderungen an den Windows-Tokendiensts (C2WTS) in ein Domänenkonto (e.g. VMLAB\svcC2WTS). Das Konfigurieren des Forderungen an den Windows-Tokendiensts (C2WTS) wird in den anderen Szenarien in diesem Artikel ausführlich beschrieben: Konfigurieren und Starten des Forderungen an den Windows-Tokendiensts (C2WTS) auf Servern mit Excel Services Konfigurieren und Starten des Forderungen an den Windows-Tokendiensts (C2WTS) auf Servern mit Visio Services Konfigurieren und Starten des Forderungen an den Windows-Tokendiensts (C2WTS) auf Servern mit PerformancePoint Services 2. Konfigurieren der Delegierung des Kontos VMLAB\svcSQL an den Dienstprinzipalnamen der verknüpften SQL Server-Instanz Konfigurationscheckliste Konfigurationsbereich Beschreibung PowerPivot-Installation Installieren von SQL Server PowerPivot für SharePoint auf dem Anwendungsserver 160 Identitätsdelegierung für PowerPivot für SharePoint 2010 (SharePoint Server 2010) Voraussetzungen für dieses Szenario Streng genommen, sind die folgenden Kerberos-Authentifizierungsszenarien für PowerPivot für SharePoint nicht erforderlich. Sie beschleunigen jedoch nach erfolgreichem Abschluss den PowerPivot für SharePoint-Installationsprozess, da die Komponenten selbst Voraussetzung für PowerPivot für SharePoint darstellen. Szenario 1: Kernkonfiguration Szenario 2: Kerberos-Authentifizierung für SQL OLTP (Optional) Szenario 3: Kerberos-Authentifizierung für SQL Server Analysis Services Szenario 5: Identitätsdelegierung für Excel Services Konfigurationsanweisungen Installieren Sie PowerPivot für SharePoint auf dem Anwendungsserver (vmsp10app01). Detaillierte Anweisungen finden Sie unter Vorgehensweise: Installieren von PowerPivot für SharePoint in einer dreistufigen SharePoint-Farm in der MSDN-Onlinebibliothek. Wenn Sie bereits die anderen Szenarien in diesem Artikel durchlaufen haben, können Sie die Abschnitte im MSDN-Artikel überspringen, die bereits erledigt wurden. Wichtig: Der Anwendungspool für die SQL Server PowerPivot-Dienstanwendung muss mit dem Domänenkonto des SharePoint Server-Farmadministrators ausgeführt werden. In keinem anderen Benutzerkontext kann der PowerPivot-Systemdienst die Anmeldeinformationen des unbeaufsichtigten Kontos aus dem Secure Store Service abrufen. 161 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Identitätsdelegierung für Visio Services (SharePoint Server 2010) Veröffentlichung: 02.12.10 In diesem Szenario fügen Sie eine Visio Services-Dienstanwendung der SharePoint Server-Umgebung hinzu. Anschließend konfigurieren Sie die eingeschränkte KerberosDelegierung, damit der Dienst Daten aus einer SQL Server-Datenquelle in einer VisioWebzeichnung aktualisiert. Hinweis: Bei einer Installation unter Windows Server 2008 muss ggf. der folgende Hotfix für die Kerberos-Authentifizierung installiert werden: Kerberos-Authentifizierung misslingt bei Verwenden des AES-Algorithmus auf einem Computer mit Windows Server 2008 oder Windows Vista mit dem Fehlercode 0X80090302 oder 0x8009030f (http://support.microsoft.com/kb/969083/de-de) Voraussetzungen für dieses Szenario Bevor Sie dieses Szenario angehen, müssen die folgenden Aufgaben erledigt sein: Szenario 1: Kernkonfiguration Szenario 2: Kerberos-Authentifizierung für SQL OLTP Checkliste für die Konfiguration Konfigurationsbereich Beschreibung Active DirectoryKonfiguration Erstellen eines Visio Services-Dienstkontos Konfigurieren eines Dienstprinzipalnamens für das Visio Services-Dienstkonto 162 Identitätsdelegierung für Visio Services (SharePoint Server 2010) Konfigurationsbereich Beschreibung Konfigurieren der eingeschränkten Kerberos-Delegierung für Server mit Visio Services Konfigurieren der eingeschränkten Kerberos-Delegierung für das Visio Services-Dienstkonto SharePoint ServerKonfiguration Starten des Forderungen an den Windows-Tokendiensts (C2WTS) auf Servern mit Visio Services Erteilen von Berechtigungen für die Inhaltsdatenbank der Webanwendung für das Visio Services-Dienstkonto Starten der Visio Services-Dienstinstanz auf dem Server mit Visio Services Erstellen der Visio Services-Dienstanwendung und des Proxys Überprüfen der eingeschränkten Visio Services-Delegierung Konfigurieren der Cacheeinstellungen für Visio Services Erstellen einer Dokumentbibliothek zum Hosten eines VisioTestdiagramms Erstellen einer Visio-Testwebzeichnung mit Shapes, die mit SQL Server-Daten verbunden sind Veröffentlichen der Visio-Zeichnung in SharePoint Server und Aktualisieren der Datenverbindung 163 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Details der Szenarioumgebung Pfade der eingeschränkten Kerberos-Delegierung Kerberos delegation Visio Visio Services Identity Vmlab\svcVisio SPN: SP/Visio SQL Database Engine Identity Vmlab\svcSQL SPN: MSSQLSVC/MySqlCluster.vmlab.local:1433 SQL c2WTS vmSQL2k8r2-01 Default Instance Port: 1433 App Server VMSP10APP01 vmSQL2k8r2-02 SQL Cluster DNS (A): MySQLCluster.vmlab.local In diesem Szenario werden die Visio Services-Anwendungsserver und -Dienstkonten von SharePoint Server für die eingeschränkte Kerberos-Delegierung an den SQL ServerDienst konfiguriert. Logische SharePoint Server-Authentifizierung STS Kerberos c2WTS Claims Kerberos SharePoint Visio Services SharePoint WFE DataSource Die Authentifizierung in diesem Szenario beginnt mit der Clientauthentifizierung über Kerberos auf dem Web-Front-End-Server. SharePoint Server 2010 wandelt das Windows-Authentifizierungstoken mithilfe des lokalen Sicherheitstokendiensts in ein Forderungstoken um. Die Visio-Dienstanwendung akzeptiert das Forderungstoken und wandelt es mithilfe des zum Windows Identity Framework (WIF) gehörenden Forderungen an den Windows-Tokendiensts in ein Windows-Token (Kerberos) um. Die 164 Identitätsdelegierung für Visio Services (SharePoint Server 2010) Visio-Dienstanwendung verwendet anschließend das Kerberos-Ticket zur Authentifizierung bei der Datenquelle im Back-End. Schrittweise Konfigurationsanweisungen Active Directory-Konfiguration Erstellen eines Visio Services-Dienstkontos Empfohlen wird, die Visio Services-Anwendung unter ihrer eigenen Domänenidentität auszuführen. Zum Konfigurieren der Visio Services-Anwendung müssen Active DirectoryKonten erstellt werden. Bei diesem Beispiel wurden die folgenden Konten erstellt: SharePoint Server-Dienst IIS-Anwendungspoolidentität Visio Services vmlab\svcVisio Konfigurieren eines Dienstprinzipalnamens für das Visio ServicesDienstkonto Die eingeschränkte Kerberos-Delegierung muss konfiguriert werden, wenn Visio Services die Windows-Identität des Clients an die Datenquelle im Back-End zurück delegieren soll. In diesem Beispiel fragt Visio Services Daten aus einer SQL ServerTransaktionsdatenbank ab, weshalb die Kerberos-Delegierung erforderlich ist. Die Kerberos-Delegierung wird zumeist im Active Directory-Snap-In Benutzer und Computer konfiguriert. Hierfür muss dem zu konfigurierenden Active Directory-Objekt ein Dienstprinzipalname zugeordnet werden. Andernfalls wird die Registerkarte Delegierung des Objekts in dessen Eigenschaftendialogfeld nicht angezeigt. Wenngleich Excel Services für den Betrieb keinen Dienstprinzipalnamen benötigt, wird für diesen Zweck einer konfiguriert. Führen Sie an der Eingabeaufforderung folgenden Befehl aus: SETSPN -S SP/VisioServices svc\VisioServices 165 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Hinweis: Der Dienstprinzipalname ist kein gültiger Dienstprinzipalname und wird dem angegebenen Dienstkonto zugeordnet, um die Delegierungsoptionen im Active Directory-Snap-In Benutzer und Computer zu veranschaulichen. Es gibt andere unterstützte Möglichkeiten zur Angabe der Delegierungseinstellungen (insbesondere das Attribut msDSAllowedToDelegateTo), die in diesem Artikel jedoch nicht behandelt werden. Konfigurieren der eingeschränkten Kerberos-Delegierung für Visio Services Damit Visio Services die Identität des Clients delegieren kann, muss die eingeschränkte Kerberos-Delegierung konfiguriert werden. Ferner müssen Sie die eingeschränkte Delegierung mit Protokollübergang für die Umwandlung von Forderungstoken in Windows-Token über den Forderungen an den Windows-Tokendienst (C2WTS) von Windows Identity Framework (WIF) konfigurieren. Servern, auf denen Visio Services ausgeführt wird, muss für die Delegierung von Anmeldeinformationen an alle Back-End-Dienste vertraut werden, bei denen sich Visio authentifiziert. Darüber hinaus muss das Visio Services-Dienstkonto ebenfalls für das Zulassen der Delegierung an dieselben Back-End-Dienste konfiguriert werden. In unserem Beispiel werden die folgenden Delegierungspfade definiert: Prinzipaltyp Prinzipalname Erforderliche Stellvertretungen User Vmlab\svcVisio MSSQLSVC/MySqlCluster.vmlab.local:1433 *Benutzer Vmlab\svcC2WTS MSSQLSVC/MySqlCluster.vmlab.local:1433 **Computer Vmlab\vmsp10app01 MSSQLSVC/MySqlCluster.vmlab.local:1433 * Wird in diesem Szenario später konfiguriert ** Optional. Die eingeschränkte Delegierung für das Computerkonto ist nur erforderlich, wenn der Forderungen an den Windows-Tokendienst (C2WTS) als Lokales System ausgeführt wird. 166 Identitätsdelegierung für Visio Services (SharePoint Server 2010) So konfigurieren Sie die eingeschränkte Delegierung 1. Öffnen Sie die Eigenschaften des Active Directory-Objekts in Active DirectoryBenutzer und -Computer. 2. Navigieren Sie zur Registerkarte Delegierung. 3. Wählen Sie Benutzer bei Delegierungen angegebener Dienste vertrauen aus. 4. Wählen Sie anschließend Beliebiges Authentifizierungsprotokoll verwenden aus. Diese Einstellung ermöglicht den Protokollübergang und ist für das VisioDienstkonto erforderlich, damit der Forderungen an den Windows-Tokendienst (C2WTS) genutzt werden kann. 167 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 5. Klicken Sie auf die Schaltfläche Hinzufügen, um den Dienstprinzipal auszuwählen, an den die Delegierung erfolgen darf. 6. Wählen Sie Benutzer und Computer aus. 7. Wählen Sie das Dienstkonto aus, mit dem der Dienst ausgeführt wird, an den die Delegierung erfolgen soll. In diesem Beispiel ist dies das Dienstkonto für den SQL Server-Dienst. 168 Identitätsdelegierung für Visio Services (SharePoint Server 2010) Hinweis: Dem ausgewählten Dienstkonto muss ein Dienstprinzipalname zugeordnet sein. In unserem Beispiel wurde der Dienstprinzipalname für dieses Konto in einem vorherigen Szenario konfiguriert. 8. Klicken Sie auf OK. Sie werden aufgefordert, die Dienstprinzipalnamen auszuwählen, an die die Delegierung erfolgen soll. 9. Wählen Sie die Dienste für den SQL Server-Cluster aus, und klicken Sie auf OK. 10. Die ausgewählten Dienstprinzipalnamen sollten nun in der Liste Dienste, für die dieses Konto delegierte Anmeldeinformationen verwenden kann enthalten sein. 169 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 11. Wiederholen Sie diese Schritte für alle Delegierungspfade (Computer und Benutzer), die am Anfang dieses Abschnitts definiert wurden. Überprüfen Sie den MSSQLSVC-Dienstprinzipalnamen für das Dienstkonto, mit dem der Dienst auf dem Server mit SQL Server ausgeführt wird (in Szenario 2 erfolgt). Überprüfen Sie mit dem folgenden SetSPN-Befehl, ob der Dienstprinzipalname für das SQL Server-Dienstkonto (vmlab\svcSQL) vorhanden ist: SetSPN -L vmlab\svcSQL Folgendes sollte angezeigt werden: MSOLAPSvc.3/MySqlCluster MSSQLSVC/MySqlCluster.vmlab.local:1433 170 Identitätsdelegierung für Visio Services (SharePoint Server 2010) SharePoint Server-Konfiguration Konfigurieren und Starten des Forderungen an den WindowsTokendiensts (C2WTS) auf Servern mit Visio Services Der Forderungen an den Windows-Tokendienst ist eine Komponente von Windows Identity Foundation (WIF) und für das Umwandeln von Benutzerforderungstoken in Windows-Token zuständig. Dies erfolgt im Visio-Grafikdienst, wenn der Dienst Anmeldeinformationen an ein Back-End-System delegieren muss, das mit der Windows-Authentifizierung arbeitet. WIF wird mit SharePoint Server 2010 bereitgestellt, der Forderungen an den WindowsTokendienst (C2WTS) kann in der Zentraladministration gestartet werden. Auf jedem Anwendungsserver mit dem Visio-Grafikdienst muss der Forderungen an den Windows-Tokendienst (C2WTS) lokal ausgeführt werden. Dieser Dienst öffnet keine Ports, und Remoteaufrufer können nicht auf ihn zugreifen. Darüber hinaus muss die Dienstkonfigurationsdatei des Forderungen an den Windows-Tokendiensts (C2WTS) so konfiguriert werden, dass der lokalen aufrufenden Clientidentität vertraut wird. Empfohlen wird, den Forderungen an den Windows-Tokendienst (C2WTS) mit einem dedizierten Dienstkonto und nicht als Lokales System (Standardkonfiguration) auszuführen. Das Dienstkonto des Forderungen an den Windows-Tokendiensts (C2WTS) erfordert spezielle lokale Berechtigungen für jeden Server, auf dem der Dienst ausgeführt wird. Die entsprechenden Berechtigungen müssen jedes Mal konfiguriert werden, wenn der Dienst auf einem Server gestartet wird. Optimal ist die Konfiguration der Berechtigungen des Dienstkontos auf dem lokalen Server, bevor der Forderungen an den Windows-Tokendienst (C2WTS) gestartet wird. Falls dies jedoch im Anschluss erfolgt, können Sie den Forderungen an den Windows-Tokendienst (C2WTS)über die Windows-Dienstverwaltungskonsole (services.msc) neu starten. So starten Sie den Forderungen an den Windows-Tokendienst (C2WTS) 1. Erstellen Sie in Active Directory ein Dienstkonto, unter dem der Dienst ausgeführt wird. In diesem Beispiel wird vmlab\svcC2WTS erstellt. 2. Ordnen Sie dem Dienstkonto einen beliebigen Dienstprinzipalnamen zu, um die Delegierungsoptionen für dieses Konto in Active Directory-Benutzer und -Computer anzuzeigen. Dieser Name darf ein beliebiges Format haben, da beim Forderungen an den Windows-Tokendienst (C2WTS) keine Kerberos-Authentifizierung erfolgt. Es wird empfohlen, keinen HTTP-Dienstprinzipalnamen zu wählen, damit in Ihrer Umgebung keine doppelten Namen generiert werden. Im Beispiel wurde SP/C2WTS bei vmlab\svcC2WTS mit folgendem Befehl registriert: SetSPN -S SP/C2WTS vmlab\svcC2WTS 171 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 3. Konfigurieren Sie die eingeschränkte Kerberos-Delegierung für das Dienstkonto des Forderungen an den Windows-Tokendiensts (C2WTS). In diesem Szenario werden Anmeldeinformationen an den SQL Server-Dienst delegiert, der mit dem Dienstprinzipalnamen MSSQLSVC/MySqlCluster.vmlab.local:1433 ausgeführt wird. 4. Konfigurieren Sie anschließend die vom Forderungen an den Windows-Tokendienst (C2WTS) benötigten lokalen Serverberechtigungen, die auf allen Servern konfiguriert werden müssen, auf denen der Forderungen an den WindowsTokendienst (C2WTS) ausgeführt wird. In unserem Beispiel ist dies VMSP10APP01. Melden Sie sich an diesem Server an, und erteilen Sie dem Forderungen an den Windows-Tokendienst (C2WTS) die folgenden Berechtigungen: a) Fügen Sie das Dienstkonto der lokalen Gruppe Administratoren hinzu. b) Erteilen Sie in der lokalen Sicherheitsrichtlinie (secpol.msc) unter Zuweisen von Benutzerrechten dem Dienstkonto die folgenden Berechtigungen: 172 Identitätsdelegierung für Visio Services (SharePoint Server 2010) i. Einsetzen als Teil des Betriebssystems ii. Annehmen der Clientidentität nach Authentifizierung iii. Anmelden als Dienst 5. Öffnen Sie die Zentraladministration. 6. Registrieren Sie im Abschnitt Sicherheit unter Verwaltete Dienstkonten konfigurieren das Dienstkonto des Forderungen an den Windows-Tokendiensts (C2WTS) als verwaltetes Konto. 7. Wählen Sie unter Dienste den Eintrag Dienste auf dem Server verwalten aus. 8. Wählen Sie im Auswahlfeld Server rechts oben den/die Server aus, auf dem/denen der Visio-Grafikdienst ausgeführt wird. In diesem Beispiel heißt der Server VMSP10APP01. 9. Navigieren Sie zu Forderungen an den Windows-Tokendienst, und starten Sie den Dienst. 173 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 10. Wechseln Sie im Abschnitt Sicherheit zu Dienstkonten verwalten. Ändern Sie die Identität des Forderungen an den Windows-Tokendiensts (C2WTS) in das neue verwaltete Konto. Hinweis: Wenn der Forderungen an den Windows-Tokendienst bereits ausgeführt wurde, bevor Sie das dedizierte Dienstkonto konfiguriert haben, oder Sie die Berechtigungen des Dienstkontos nach Start des Forderungen an den Windows-Tokendiensts (C2WTS) ändern müssen, starten Sie den Dienst über die Konsole Dienste neu. Falls darüber hinaus Probleme mit dem Forderungen an den Windows-Tokendienst (C2WTS) nach dem Neustart des Diensts vorliegen sollten, müssen Sie ggf. die IISAnwendungspools zurücksetzen, die mit dem Forderungen an den WindowsTokendienst (C2WTS) kommunizieren. 174 Identitätsdelegierung für Visio Services (SharePoint Server 2010) Hinzufügen von Startabhängigkeiten zum Forderungen an den Windows-Tokendienst (C2WTS) im WIF Beim Forderungen an den Windows-Tokendienst (C2WTS) gibt es ein bekanntes Problem. Der Dienst wird bei einem Systemneustart nicht automatisch erfolgreich gestartet. Dieses Problem kann behoben werden, indem für die Kryptografiedienste eine Abhängigkeit konfiguriert wird: 1. Öffnen Sie ein Eingabeaufforderungsfenster. 2. Geben Sie Folgendes ein: sc config "c2wts" depend= CryptSvc 3. Wechseln Sie in der Konsole Dienste zum Claims to Windows Token Service. 4. Öffnen Sie die Eigenschaften des Diensts. 175 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 5. Überprüfen Sie die RegisterkarteAbhängigkeiten. Prüfen Sie, ob Kryptografiedienste aufgeführt ist. 6. Klicken Sie auf OK. Erteilen von Berechtigungen für die Inhaltsdatenbank der Webanwendung für das Visio Services-Dienstkonto Ein erforderlicher Schritt bei der Konfiguration von SharePoint Server 2010-OfficeWebanwendungen besteht darin, dem Dienstkonto der Webanwendung den Zugriff auf die Inhaltsdatenbanken einer bestimmten Webanwendung zu ermöglichen. In diesem Beispiel wird dem Visio-Grafikdienstkonto Zugriff auf die Inhaltsdatenbank der Webanwendung portal über Windows PowerShell erteilt. Führen Sie den folgenden Befehl an der SharePoint 2010-Verwaltungsshell aus: $w = Get-SPWebApplication -Identity http://portal $w.GrantAccessToProcessIdentity("vmlab\svcVisio") Starten der Visio-Grafikdienstinstanz auf dem Server mit Visio Starten Sie vor dem Erstellen einer Visio Services-Dienstanwendung den Visio ServicesDienst auf den vorgesehenen Farmservern. 1. Öffnen Sie die Zentraladministration. 176 Identitätsdelegierung für Visio Services (SharePoint Server 2010) 2. Wählen Sie unter Dienste den Eintrag Dienste auf dem Server verwalten aus. 3. Wählen Sie im Auswahlfeld Server rechts oben den/die Server aus, auf dem/denen Visio Services ausgeführt wird. In diesem Beispiel heißt der Server VMSP10APP01. 4. Starten Sie Visio-Grafikdienst. Erstellen der Visio-Grafikdienstanwendung und des Proxys Konfigurieren Sie anschließend eine neue Visio Services-Dienstanwendung und einen Anwendungsproxy, um Webanwendungen die Nutzung von Visio Services zu ermöglichen (falls noch nicht vorhanden): 1. Öffnen Sie die Zentraladministration. 2. Klicken Sie unter Anwendungsverwaltung auf Dienstanwendungen verwalten. 177 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 3. Klicken Sie auf Neu und anschließend auf Visio-Grafikdienst. 4. Konfigurieren Sie die neue Dienstanwendung. Wählen Sie das ordnungsgemäße Dienstkonto aus (erstellen Sie ein neues verwaltetes Konto, falls das VisioDienstkonto nicht in der Liste enthalten ist). 178 Identitätsdelegierung für Visio Services (SharePoint Server 2010) Überprüfen der eingeschränkten Delegierung für den VisioGrafikdienst Konfigurieren der Cacheeinstellungen für Visio Services Basierend auf den Cacheeinstellungen des Diensts speichert der Visio-Grafikdienst die für Webclients gerenderten Webzeichnungen einige Minuten lang zwischen. Zum Testen der Delegierung wird der Dienst so konfiguriert, dass Zeichnungen nicht zwischengespeichert werden, um die Datenaktualisierung in einer Visio-Webzeichnung einfacher überprüfen zu können. 179 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Hinweis: Das Deaktivieren des Rendercaches wird für Produktionsumgebungen nicht empfohlen. Denken Sie daran, den Cache zu reaktivieren, nachdem Sie das Testen der Delegierung in Visio abgeschlossen haben. 1. Öffnen Sie die Zentraladministration. 2. Klicken Sie unter Anwendungsverwaltung auf Dienstanwendungen verwalten. 3. Wählen Sie die im vorherigen Schritt erstellte Visio-Grafikdienstanwendung aus. 4. Wählen Sie Globale Einstellungen aus. 5. Legen Sie die Einstellung Minimales Cachealter auf 0 fest (kein Cache). 180 Identitätsdelegierung für Visio Services (SharePoint Server 2010) Hinweis: Das Festlegen des minimalen Cachealters auf 0 ist nur für Testzwecke gedacht und sollte in einer Produktionsumgebung vermieden werden. Erstellen einer Dokumentbibliothek zum Hosten einer VisioTestwebzeichnung Navigieren Sie zur Portalanwendung (http://portal). Erstellen Sie eine neue Dokumentbibliothek zum Hosten einer Visio-Testwebzeichnung. Erstellen einer Visio-Testwebzeichnung mit Shapes, die mit SQL Server-Daten verbunden sind 1. Starten Sie Visio 2010. 2. Erstellen Sie unter Start im Abschnitt Allgemein ein neues Standarddiagramm. 3. Klicken Sie auf dem Menüband auf der Registerkarte Daten auf Daten mit Shapes verknüpfen. 181 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 4. Wählen Sie im Dialogfeld zur Datenauswahl Microsoft SQL Server-Datenbank aus. 5. Geben Sie den in Szenario 2 erstellten SQL Server-Cluster an, und wählen Sie Windows-Authentifizierung aus. 182 Identitätsdelegierung für Visio Services (SharePoint Server 2010) 6. Wählen Sie die Datenbank Test und die Tabelle Sales aus. 183 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 7. Geben Sie einen benutzerfreundlichen Namen für die Verbindung ein, und speichern Sie sie in der im vorherigen Schritt erstellten Dokumentbibliothek. 184 Identitätsdelegierung für Visio Services (SharePoint Server 2010) 8. Wählen Sie im Dialogfeld Datenauswahl die neu erstellte Verbindung aus, und klicken Sie dann auf Fertig stellen. 185 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Unten im Zeichnungsfenster sollte nun das externe Datenfenster mit den zuvor erstellten Beispieldaten angezeigt werden. 9. Ziehen Sie die erste Datenzeile auf die Zeichnungsoberfläche. Dadurch wird ein neues Shape erstellt, das mit der Datenzeile verknüpft ist. Die Testzeichnung dient zum Testen der Delegierung und nicht zum Veranschaulichen der Erstellung einer vollfunktionsfähigen für die Produktion bereiten Webzeichnung. 186 Identitätsdelegierung für Visio Services (SharePoint Server 2010) Veröffentlichen der Visio-Zeichnung in SharePoint Server und Aktualisieren der Datenverbindung 1. Veröffentlichen Sie die Zeichnung in einer SharePoint-Testdokumentbibliothek. Klicken Sie auf der Registerkarte Datei auf Speichern und senden, In SharePoint speichern, Speicherort suchen und dann auf Webzeichnung. 2. Wechseln Sie zur Testdokumentbibliothek, geben Sie einen Namen für die Testzeichnung ein, und klicken Sie dann auf Speichern. 187 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Die Zeichnung wird im Browser geöffnet. 3. Wählen Sie in der Benachrichtigung zur Deaktivierung der Aktualisierung Aktivieren (immer) aus. 188 Identitätsdelegierung für Visio Services (SharePoint Server 2010) 4. Die Datenverbindung sollte automatisch aktualisiert werden, und keine Fehler sollten auftreten. 5. Öffnen Sie SQL Server Management Studio, und ändern Sie die in der Webzeichnung angezeigte Datenzeile. 6. Aktualisieren Sie die Datenverbindung, indem Sie oben im Zeichnungsfenster auf die Schaltfläche Aktualisieren klicken. Wenn die Delegierung ordnungsgemäß konfiguriert ist, sollte die Datenaktualisierung zu erkennen sein. 189 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 190 Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010) Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010) Veröffentlichung: 02.12.10 In diesem Szenario fügen Sie die PerformancePoint Services-Dienstanwendung der SharePoint Server-Umgebung hinzu. Anschließend konfigurieren Sie die eingeschränkte Kerberos-Delegierung, damit der Dienst Daten aus einem externen Analysis ServicesCube abrufen kann und die Möglichkeit hat, Daten aus SQL Server abzurufen. Hinweis: Bei einer Installation unter Windows Server 2008 muss ggf. der folgende Hotfix für die Kerberos-Authentifizierung installiert werden: Kerberos-Authentifizierung misslingt bei Verwenden des AES-Algorithmus auf einem Computer mit Windows Server 2008 oder Windows Vista mit dem Fehlercode 0X80090302 oder 0x8009030f (http://support.microsoft.com/kb/969083/de-de) Voraussetzungen für dieses Szenario Bevor Sie dieses Szenario angehen, müssen die folgenden Aufgaben erledigt sein: Szenario 1: Kernkonfiguration Szenario 2: Kerberos-Authentifizierung für SQL OLTP (optional) Szenario 3: Kerberos-Authentifizierung für SQL Server Analysis Services 191 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Checkliste für die Konfiguration Konfigurationsbereich Beschreibung Active DirectoryKonfiguration Erstellen eines PerformancePoint Services-Dienstkontos Erstellen eines Dienstprinzipalnamens für das Dienstkonto, mit dem der PerformancePoint-Dienst auf dem Anwendungsserver ausgeführt wird Überprüfen des Dienstprinzipalnamens von Analysis Services für das SQL Server Analysis Services-Dienstkonto, vmlab\svcSQLAS (erfolgt in Szenario 3) und (Optional) Überprüfen des Dienstkontos des SQL ServerDatenbankmoduls, vmlab\svcSQL (erfolgt in Szenario 2). Konfigurieren eingeschränkter Kerberos-Delegierung für das Forderungen an den Windows-Tokendienst (C2WTS)Dienstkonto für Analysis Services Konfigurieren der eingeschränkten Kerberos-Delegierung für das PerformancePointServices-Dienstkonto für Analysis Services SharePoint ServerKonfiguration Starten des Forderungen an den Windows-Tokendiensts (C2WTS) auf Servern mit PerformancePoint Services Starten der PerformancePoint Services-Dienstinstanz auf dem Server mit PerformancePoint Services Erstellen der PerformancePoint Services-Dienstanwendung und des Proxys Überprüfen der Identität der PerformancePoint-Anwendung Erteilen von Berechtigungen für die Inhaltsdatenbank der Webanwendung für das PerformancePoint Services-Dienstkonto 192 Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010) Konfigurationsbereich Beschreibung Konfigurieren des vertrauenswürdige Dateispeicherorts und von Authentifizierungseinstellungen für PerformancePoint Services Überprüfen der Erstellen einer Dokumentbibliothek zum Hosten eines eingeschränkten Testdashboards PerformancePoint Services-Delegierung Erstellen einer Datenquelle, die auf einen vorhandenen SQL Server Analysis Services-Cube verweist Erstellen einer vertrauenswürdigen PerformancePointInhaltsliste Erstellen des PerformancePoint-Testdashboards Veröffentlichen des Dashboards in SharePoint Server Details der Szenarioumgebung Pfade der eingeschränkten Kerberos-Delegierung 193 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte In diesem Szenario wird das PerformancePoint Services-Dienstkonto für die eingeschränkte Kerberos-Delegierung für den SQL Server-Dienst konfiguriert. Hinweis: In diesem Szenario wird der Forderungen an den Windows-Tokendienst (C2WTS) für die Verwendung eines dedizierten Dienstkontos konfiguriert. Wenn Sie den Forderungen an den Windows-Tokendienst (C2WTS) weiter das Konto Lokales System verwenden lassen, müssen Sie die eingeschränkte Delegierung für das Computerkonto des Computers konfigurieren, auf dem der Forderungen an den Windows-Tokendienst (C2WTS) und Excel Services ausgeführt werden. Logische SharePoint Server-Authentifizierung Die Authentifizierung in diesem Szenario beginnt mit der Clientauthentifizierung über Kerberos auf dem Web-Front-End-Server. SharePoint Server 2010 wandelt das Windows-Authentifizierungstoken mithilfe des lokalen Sicherheitstokendiensts in ein Forderungstoken um. Die PerformancePoint Services-Anwendung akzeptiert das Forderungstoken und wandelt es mithilfe des zum Windows Identity Framework (WIF) gehörenden Forderungen an den Windows-Tokendienst (C2WTS) in ein Windows-Token (Kerberos) um. Die PerformancePoint Services-Anwendung verwendet anschließend das Kerberos-Ticket zur Authentifizierung bei der Datenquelle im Back-End. 194 Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010) Schrittweise Konfigurationsanweisungen Active Directory-Konfiguration Erstellen eines PerformancePoint Services-Dienstkontos Empfohlen wird, die PerformancePoint Services-Anwendung unter ihrer eigenen Domänenidentität auszuführen. Zum Konfigurieren der PerformancePoint ServicesAnwendung muss ein Active Directory-Konto erstellt und in SharePoint Server 2010 als verwaltetes Konto registriert werden. Weitere Informationen zu finden Sie unter Verwaltete Konten in SharePoint 2010. In diesem Beispiel wird das folgende Konto erstellt und später in diesem Szenario registriert: SharePoint Server-Dienst IIS-Anwendungspoolidentität PerformancePoint-Dienste vmlab\svcPPS * HINWEIS: Sie können optional ein einzelnes Domänenkonto für mehrere Dienste wiederverwenden. Diese Konfiguration wird in den folgenden Abschnitt nicht behandelt. Erstellen eines Dienstprinzipalnamens für das Dienstkonto, mit dem der PerformancePoint-Dienst auf dem Anwendungsserver ausgeführt wird Die Kerberos-Delegierung wird zumeist im Active Directory-Snap-In Benutzer und Computer konfiguriert. Hierfür muss dem zu konfigurierenden Active Directory-Objekt ein Dienstprinzipalname zugeordnet werden. Andernfalls wird die Registerkarte Delegierung des Objekts in dessen Eigenschaftendialogfeld nicht angezeigt. Wenngleich PerformancePoint Services für den Betrieb keinen Dienstprinzipalnamen benötigt, wird für diesen Zweck einer konfiguriert. Beachten Sie, dass wenn dem Dienstkonto bereits ein Dienstprinzipalname zugeordnet wurde (bei gemeinsamer Nutzung von Konten durch Dienste), dieser Schritt nicht erforderlich ist. Führen Sie an der Eingabeaufforderung folgenden Befehl aus: SETSPN -S SP/PPS vmlab\svcPPS 195 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Hinweis: Der Dienstprinzipalname ist kein gültiger Dienstprinzipalname und wird dem angegebenen Dienstkonto zugeordnet, um die Delegierungsoptionen im Active Directory-Snap-In Benutzer und Computer zu veranschaulichen. Es gibt andere unterstützte Möglichkeiten zur Angabe der Delegierungseinstellungen (insbesondere das Attribut msDSAllowedToDelegateTo), die in diesem Artikel jedoch nicht behandelt werden. Überprüfen des Dienstprinzipalnamens von Analysis Services für das SQL Server Analysis Services-Dienstkonto, vmlab\svcSQLAS (erfolgt in Szenario 3) UND (Optional) Überprüfen des Dienstkontos des SQL Server-Datenbankmoduls, vmlab\svcSQL (erfolgt in Szenario 2) Stellen Sie sicher, dass der Dienstprinzipalname für das SQL Analysis Services-Konto (vmlab\svcSQLAS) vorhanden ist, indem Sie den folgenden SetSPN-Befehl verwenden: SetSPN -L vmlab\svcSQLAS Folgendes sollte angezeigt werden: MSOLAPSvc.3/MySqlCluster Überprüfen Sie mit dem folgenden SetSPN-Befehl, ob der Dienstprinzipalname für das SQL Server-Dienstkonto (vmlab\svcSQL) vorhanden ist: SetSPN -L vmlab\svcSQL Folgendes sollte angezeigt werden: MSOLAPSvc.3/MySqlCluster 196 Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010) Konfigurieren der eingeschränkten Kerberos-Delegierung zwischen dem PerformancePoint Services-Dienstkonto und dem SSAS-Dienst und optional für SQL Server Damit PerformancePoint-Dienste die Identität des Clients delegieren können, muss die eingeschränkte Kerberos-Delegierung konfiguriert werden. Ferner müssen Sie die eingeschränkte Delegierung mit Protokollübergang für die Umwandlung von Forderungstoken in Windows-Token über den Forderungen an den WindowsTokendienst (C2WTS) von Windows Identity Framework (WIF) konfigurieren. Servern, auf denen PerformancePoint-Dienste ausgeführt werden, muss für die Delegierung von Anmeldeinformationen an alle Back-End-Dienste vertraut werden, bei denen sich PerformancePoint authentifiziert. Darüber hinaus muss das PerformancePoint Services-Dienstkonto ebenfalls für das Zulassen der Delegierung an dieselben Back-End-Dienste konfiguriert werden. Beachten Sie auch, dass HTTP/Portal und HTTP/Portal.vmlab.local für die Delegierung konfiguriert sind, um eine SharePointListe als optionale Datenquelle für Ihr PerformancePoint-Dashboard hinzuzufügen. In unserem Beispiel werden die folgenden Delegierungspfade definiert: Prinzipaltyp Prinzipalname User Vmlab\svcC2WTS User Vmlab\svcPPS So konfigurieren Sie die eingeschränkte Delegierung 1. Öffnen Sie die Eigenschaften des Active Directory-Objekts in Active DirectoryBenutzer und -Computer. 2. Navigieren Sie zur Registerkarte Delegierung. 197 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 3. Wählen Sie Benutzer bei Delegierungen angegebener Dienste vertrauen aus. 4. Wählen Sie anschließend Beliebiges Authentifizierungsprotokoll verwenden aus. 5. Klicken Sie auf die Schaltfläche Hinzufügen, um den Dienstprinzipal auszuwählen. 6. Wählen Sie Benutzer und Computer aus. 198 Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010) 7. Wählen Sie das Dienstkonto aus, mit dem der Dienst ausgeführt wird, an den die Delegierung erfolgen soll (SQL Server, SQL Server Analysis Services oder beides). Hinweis: Dem ausgewählten Dienstkonto muss ein Dienstprinzipalname zugeordnet sein. In unserem Beispiel wurde der Dienstprinzipalname für dieses Konto in einem vorherigen Szenario konfiguriert. Weitere Informationen finden Sie in den Abschnitt KerberosAuthentifizierung für SQL OLTP und Kerberos-Authentifizierung für SQL Analysis Services in diesem Dokument. 8. Klicken Sie auf OK. 9. Wählen Sie die Dienstprinzipalnamen aus, an die die Delegierung erfolgen soll, und klicken Sie dann auf OK. 199 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 10. Die ausgewählten Dienstprinzipalnamen sollten nun in der Liste Dienste, für die dieses Konto delegierte Anmeldeinformationen verwenden kann enthalten sein. 200 Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010) 11. Wiederholen Sie diese Schritte für alle Delegierungspfade, die am Anfang dieses Abschnitts definiert wurden. SharePoint Server-Konfiguration Konfigurieren und Starten des Forderungen an den WindowsTokendiensts (C2WTS) auf Servern mit PerformancePoint Services Der Forderungen an den Windows-Tokendienst (C2WTS) ist eine Komponente von Windows Identity Foundation (WIF) und für das Umwandeln von Benutzeranspruchstoken in Windows-Token zuständig. Dies erfolgt in PerformancePoint Services, wenn die Dienste Anmeldeinformationen an ein Back-End-System delegieren müssen, das mit der integrierten Windows-Authentifizierung arbeitet. WIF wird mit 201 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte SharePoint Server 2010 bereitgestellt, der Forderungen an den Windows-Tokendienst (C2WTS) kann in der Zentraladministration gestartet werden. Auf jedem PerformancePoint Services-Anwendungsserver muss der Forderungen an den Windows-Tokendienst (C2WTS) lokal ausgeführt werden. Dieser Dienst öffnet keine Ports, und Remoteaufrufer können nicht auf ihn zugreifen. Darüber hinaus muss die Dienstkonfigurationsdatei des Forderungen an den Windows-Tokendiensts (C2WTS) so konfiguriert werden, dass der lokalen aufrufenden Clientidentität vertraut wird. Empfohlen wird, den Forderungen an den Windows-Tokendienst (C2WTS) mit einem dedizierten Dienstkonto und nicht als Lokales System (Standardkonfiguration) auszuführen. Das Dienstkonto des Forderungen an den Windows-Tokendiensts (C2WTS) erfordert spezielle lokale Berechtigungen für jeden Server, auf dem der Dienst ausgeführt wird. Vergewissern Sie sich, dass Sie diese Berechtigungen konfiguriert haben, wenn Sie den Forderungen an den Windows-Tokendienst (C2WTS) mit einem Domänenkonto ausführen. Um sicherzustellen, dass das Konto des Forderungen an den WindowsTokendienst (C2WTS) die benötigten Registerkarten auswählt, starten Sie den Server nach der Konfiguration des Forderungen an den Windows-Tokendiensts (C2WTS) neu. *HINWEIS: Wenn Sie den Forderungen an den Windows-Tokendienst (C2WTS) als Lokales System konfigurieren, müssen Sie keine weitere lokalen Berechtigungen konfigurieren. So starten Sie den Forderungen an den Windows-Tokendienst (C2WTS) 1. Erstellen Sie in Active Directory ein Dienstkonto, unter dem der Dienst ausgeführt wird. In diesem Beispiel wird vmlab\svcC2WTS erstellt. 2. Ordnen Sie dem Dienstkonto einen beliebigen Dienstprinzipalnamen zu, um die Delegierungsoptionen für dieses Konto in Active Directory-Benutzer und -Computer anzuzeigen. Dieser Name darf ein beliebiges Format haben, da beim Forderungen an den Windows-Tokendienst (C2WTS) keine Kerberos-Authentifizierung erfolgt. Es wird empfohlen, keinen HTTP-Dienstprinzipalnamen zu wählen, damit in Ihrer Umgebung keine doppelten Namen generiert werden. Im Beispiel wurde SP/C2WTS bei vmlab\svcC2WTS mit folgendem Befehl registriert: SetSPN -S SP/C2WTS vmlab\svcC2WTS 3. Konfigurieren Sie die eingeschränkte Kerberos-Delegierung für das Dienstkonto des Forderungen an den Windows-Tokendiensts (C2WTS). In diesem Szenario werden Anmeldeinformationen an den SQL Server-Dienst delegiert, der mit dem Dienstprinzipalnamen MSOLAPsvc.3/MySqlCluster.vmlab.local ausgeführt wird. 202 Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010) 4. Konfigurieren Sie anschließend die vom Forderungen an den Windows-Tokendienst (C2WTS) benötigten lokalen Serverberechtigungen, die auf allen Servern konfiguriert werden müssen, auf denen der Forderungen an den WindowsTokendienst (C2WTS) ausgeführt wird. In unserem Beispiel ist dies VMSP10APP01. Melden Sie sich an diesem Server an, und erteilen Sie dem Forderungen an den Windows-Tokendienst (C2WTS) die folgenden Berechtigungen: a) Fügen Sie das Dienstkonto der lokalen Gruppe Administratoren hinzu. 203 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte b) Erteilen Sie in der lokalen Sicherheitsrichtlinie (secpol.msc) unter Zuweisen von Benutzerrechten dem Dienstkonto die folgenden Berechtigungen: i. Einsetzen als Teil des Betriebssystems ii. Annehmen der Clientidentität nach Authentifizierung iii. Anmelden als Dienst 5. Öffnen Sie die Zentraladministration. 6. Registrieren Sie im Abschnitt Sicherheit unter Verwaltete Dienstkonten konfigurieren das Dienstkonto des Forderungen an den Windows-Tokendiensts (C2WTS) als verwaltetes Konto. 7. Wählen Sie unter Dienste den Eintrag Dienste auf dem Server verwalten aus. 8. Wählen Sie im Auswahlfeld Server rechts oben den/die Server aus, auf dem/denen PerformancePoint-Dienste ausgeführt werden. In diesem Beispiel heißt der Server VMSP10APP01. 9. Navigieren Sie zu Forderungen an den Windows-Tokendienst, und starten Sie den Dienst. 204 Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010) 10. Wechseln Sie im Abschnitt Sicherheit zu Dienstkonten verwalten. Ändern Sie die Identität des Forderungen an den Windows-Tokendiensts (C2WTS) in das neue verwaltete Konto. Hinweis: Wenn der Forderungen an den Windows-Tokendienst (C2WTS) bereits ausgeführt wurde, bevor Sie das dedizierte Dienstkonto konfiguriert haben, oder Sie die Berechtigungen des Dienstkontos nach Start des Forderungen an den Windows-Tokendiensts (C2WTS) ändern müssen, starten Sie den Dienst über die Konsole Dienste neu. Falls darüber hinaus Probleme mit dem Forderungen an den Windows-Tokendienst (C2WTS) nach dem Neustart des Diensts vorliegen sollten, müssen Sie ggf. die IISAnwendungspools zurücksetzen, die mit dem Forderungen an den WindowsTokendienst (C2WTS) kommunizieren. 205 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Hinzufügen von Startabhängigkeiten zum Forderungen an den Windows-Tokendienst (C2WTS) im WIF Beim Forderungen an den Windows-Tokendienst (C2WTS) gibt es ein bekanntes Problem. Der Dienst wird bei einem Systemneustart nicht automatisch erfolgreich gestartet. Dieses Problem kann behoben werden, indem für die Kryptografiedienste eine Abhängigkeit konfiguriert wird: 1. Öffnen Sie das Eingabeaufforderungsfenster. 2. Geben Sie Folgendes ein: sc config c2wts depend= CryptSvc 3. Wechseln Sie in der Konsole Dienste zum Claims to Windows Token Service. 4. Öffnen Sie die Eigenschaften des Diensts. 206 Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010) 5. Überprüfen Sie die RegisterkarteAbhängigkeiten. Prüfen Sie, ob Kryptografiedienste aufgeführt ist. 6. Klicken Sie auf OK. 7. Starten Sie den Server neu. Vergewissern Sie sich, dass der Forderungen an den Windows-Tokendienst (C2WTS) nach dem Neustart des Computers gestartet wurde. Starten der PerformancePoint Services-Dienstinstanz auf dem Server mit PerformancePoint Services Starten Sie vor dem Erstellen einer PerformancePoint Services-Dienstanwendung den PerformancePoint Services-Dienst auf den vorgesehenen Farmservern. Weitere Informationen zur PerformancePoint Services-Konfiguration finden Sie unter PerformancePoint Services-Verwaltung auf Microsoft TechNet. 1. Öffnen Sie die Zentraladministration. 2. Wählen Sie unter Dienste den Eintrag Dienste auf dem Server verwalten aus. 3. Wählen Sie im Auswahlfeld Server rechts oben den/die Server aus, auf dem/denen PerformancePoint-Dienste ausgeführt werden. In diesem Beispiel heißt der Server VMSP10APP01. 207 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 4. Starten Sie den Dienst PerformancePoint Services. Erstellen der PerformancePoint Services-Dienstanwendung und des Proxys Konfigurieren Sie anschließend eine neue PerformancePoint Services-Dienstanwendung und einen Anwendungsproxy, um Webanwendungen die Nutzung von PerformancePoint Services zu ermöglichen: 1. Öffnen Sie die Zentraladministration. 2. Klicken Sie unter Anwendungsverwaltung auf Dienstanwendungen verwalten. 208 Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010) 3. Klicken Sie auf Neu und dann auf PerformancePoint Services-Anwendung. 4. Konfigurieren Sie die neue Dienstanwendung. Wählen Sie das ordnungsgemäße Dienstkonto aus, oder erstellen Sie ein neues verwaltetes Konto, falls noch nicht geschehen. 209 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Hinweis: Das Konfigurieren des unbeaufsichtigten Dienstkontos ist in diesem Szenario optional und nur erforderlich, wenn Sie auch die NTLM-Authentifizierung testen möchten. Sie können ein neues Dienstkonto für einen vorhandenen dedizierten Anwendungspool für PerformancePoint Services vor diesem Schritt oder beim Erstellen des neuen PerformancePoint-Diensts erstellen und registrieren. Zum Zuordnen des Dienstkontos 210 Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010) zu einem vorhandenen dedizierten Anwendungspool für PerformancePoint oder Überprüfen eines vorhandenen Kontos führen Sie die folgenden Schritte aus. 1. Klicken Sie auf der Website für die Zentraladministration im Abschnitt Sicherheit auf Verwaltete Konten konfigurieren. 2. Wählen Sie im Dropdownfeld den Anwendungspool aus. 3. Wählen Sie das Active Directory-Konto aus. Erteilen von Berechtigungen für die Inhaltsdatenbank der Webanwendung für das PerformancePoint Services-Dienstkonto Ein erforderlicher Schritt bei der Konfiguration von SharePoint Server 2010-OfficeWebanwendungen besteht darin, dem Dienstkonto der Webanwendung den Zugriff auf die Inhaltsdatenbanken einer bestimmten Webanwendung zu ermöglichen. In diesem Beispiel wird dem PerformancePoint Services-Konto Zugriff auf die Inhaltsdatenbank der Webanwendung „portal“ über Windows PowerShell erteilt. Führen Sie den folgenden Befehl an der SharePoint 2010-Verwaltungsshell aus: $w = Get-SPWebApplication -Identity http://portal $w.GrantAccessToProcessIdentity("vmlab\svcPPS") 211 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Konfigurieren des vertrauenswürdige Dateispeicherorts und von Authentifizierungseinstellungen für PerformancePoint Services Nach Erstellen der PerformancePoint Services-Anwendung müssen Sie die Eigenschaften der neuen Dienstanwendung konfigurieren, um einen vertrauenswürdigen Hostspeicherort und Authentifizierungseinstellungen anzugeben. 1. Öffnen Sie die Zentraladministration. 2. Klicken Sie unter Anwendungsverwaltung auf Dienstanwendungen verwalten. 3. Klicken Sie auf den Link der neuen Dienstanwendung PerformancePoint Services, und klicken Sie auf dem Menüband auf Verwalten. 4. Klicken Sie auf dem Bildschirm zur Verwaltung von PerformancePoint Services auf Vertrauenswürdige Datenquellen-Speicherorte. 212 Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010) 5. Wählen Sie die Option Nur bestimmte Orte aus, und klicken Sie auf Vertrauenswürdigen Datenquellen-Speicherort hinzufügen. 6. Geben Sie die URL des Speicherorts ein, wählen Sie die Option Websitesammlung (und Unterstruktur) aus, und klicken Sie dann auf OK. 7. Wählen Sie die Option Nur bestimmte Orte aus, und klicken Sie auf Vertrauenswürdigen Datenquellen-Speicherort hinzufügen. 213 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 8. Geben Sie die URL des Speicherorts ein, wählen Sie die Option Website (und Unterstruktur) aus, und klicken Sie dann auf OK. 214 Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010) Überprüfen der eingeschränkten PerformancePoint Services-Delegierung Hinweis: In größeren Umgebungen mit mehreren Servern mit Active Directory müssen Sie ggf. den Abschluss der Active Directory-Replikation abwarten, bevor Sie mit der Überprüfung der Konfiguration beginnen. Erstellen eines PerformancePoint-Testdashboards mit einer SQL Server Analysis Services-Datenverbindung Öffnen Sie als Nächstes PerformancePoint Dashboard Designer, und erstellen Sie eine Analysis Services-Datenverbindung. 1. Öffnen Sie PerformancePoint Dashboard Designer, und klicken Sie dann mit der rechten Maustaste, um eine Verbindung zu erstellen. 2. Wählen Sie Analysis Services aus. 215 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 3. Geben Sie den Server, die Datenbank und den Cube an, und wählen Sie Identität pro Benutzer aus. 216 Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010) 4. Klicken Sie auf Datenquelle testen, um die Verbindung zu testen. 217 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 5. Erstellen Sie einen Bericht und ein Dashboard. 6. Vergewissern Sie sich, dass Sie über eine Datenverbindung verfügen, indem Sie Measures und Dimensionen aus dem Detailbereich in den Berichts-Designer ziehen. 218 Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010) 7. Ihr Bericht kann in das Dashboard einbezogen werden. Wählen Sie Berichte aus, und ziehen Sie dann Mein Bericht auf die Seite Dashboardinhalt. Veröffentlichen des Dashboards in SharePoint Server Der letzte Schritt bei der Überprüfung der PerformancePoint Services-Anwendung ist das Veröffentlichen des Dashboards und Testen der Aktualisierung und Anzeige der Analysis Services-Daten. Gehen Sie dazu folgendermaßen vor: 1. Klicken Sie auf das helle Dateischaltflächensymbol. 219 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 2. Klicken Sie im Dateiauswahlbereich auf Bereitstellen. 3. Wählen Sie eine Gestaltungsvorlage aus, in der die Veröffentlichung erfolgen soll. 4. Klicken Sie im Browser auf die Schaltfläche Aktualisieren. Wenn die Datenverbindung aktualisiert wird, haben Sie die Kerberos-Delegierung für PerformancePoint Services erfolgreich konfiguriert. 220 Identitätsdelegierung für PerformancePoint Services (SharePoint Server 2010) 221 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Identitätsdelegierung für Business Connectivity Services (SharePoint Server 2010) Veröffentlichung: 02.12.10 In diesem Szenario konfigurieren Sie die Business Data Connectivity-Dienstanwendung für die Verwendung der eingeschränkten Kerberos-Delegierung zur Authentifizierung bei SQL Server. Nach Abschluss der Konfiguration erstellen Sie einen neuen externen Inhaltstyp und eine externe Liste, um die Authentifizierung und Lesevorgänge in einer SharePoint-Website zu testen. In diesem Szenario befinden sich die SharePoint Server-Farm und die BCS-Datenquelle beide in der gleichen Domäne. Daher konfigurieren wir eingeschränkte KerberosDelegierung, um die Identitätsdelegierung an die Back-End-Datenquelle zu ermöglichen. Wenn Sie sich bei Datenquellen in anderen Domänen in der gleichen Gesamtstruktur authentifizieren müssen, müssen Sie einfache (nicht eingeschränkte) KerberosDelegierung konfigurieren. Denken Sie daran, dass BCS den Forderungen-zu-WindowsTokens-Dienst (C2WTS) nicht nutzt und daher einfache Delegierung verwenden kann. Hinweis: Bei einer Installation unter Windows Server 2008 muss ggf. der folgende Hotfix für die Kerberos-Authentifizierung installiert werden: Kerberos-Authentifizierung misslingt bei Verwenden des AES-Algorithmus auf einem Computer mit Windows Server 2008 oder Windows Vista mit dem Fehlercode 0X80090302 oder 0x8009030f (http://support.microsoft.com/kb/969083/de-de) 222 Identitätsdelegierung für Business Connectivity Services (SharePoint Server 2010) Voraussetzungen für dieses Szenario Damit Sie dieses Szenario durcharbeiten können, müssen Sie Folgendes bereits ausgeführt haben: Szenario 1: Kernkonfiguration Szenario 2: Kerberos-Authentifizierung für SQL OLTP Checkliste für die Konfiguration Konfigurationsbereich Beschreibung Active Directory-Konfiguration Erstellen des BCS-Anwendungsdienstkontos Überprüfen der Dienstprinzipalnamen Delegierung konfigurieren SharePoint Server-Konfiguration BCS-Dienstinstanz starten BCS-Dienstanwendung erstellen Überprüfung Externen BCS-Inhaltstyp erstellen Sicherheit für BCS konfigurieren Erstellen einer externen BCS-Liste Öffnen der externen Liste im Browser 223 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Details der Szenarioumgebung Kerberos delegation SQL Database Engine Identity Vmlab\svcSQL SPN: MSSQLSVC/MySqlCluster.vmlab.local:1433 SQL App Pool Identities vmSQL2k8r2-01 Default Instance Port: 1433 vmSP10WFE01 vmSQL2k8r2-02 vmSP10WFE02 SQL Cluster DNS (A): MySQLCluster.vmlab.local IIS Application Pool IIS App Pool Identity Vmlab\svcPortal10App SPN: HTTP/Portal HTTP/Portal.vmlab.local SQL Database Engine Identity Vmlab\svcSQL SPN: MSSQLSVC/MySqlCluster.vmlab.local:1433 Kerberos delegation SharePoint Site ADO.NET ECT External List BCS Service App SQL ECT Definition Schrittweise Konfigurationsanweisungen Active Directory-Konfiguration Erstellen des BCS-Anwendungsdienstkontos Es wird empfohlen, Business Connectivity Services unter einer eigenen Domänenidentität auszuführen. Zum Konfigurieren der BCS-Anwendung müssen Sie ein 224 Identitätsdelegierung für Business Connectivity Services (SharePoint Server 2010) Active Directory-Konto erstellen. Bei diesem Beispiel wurden die folgenden Konten erstellt: SharePoint Server-Dienst IIS-Anwendungspoolidentität Business Connectivity Services vmlab\svcBDC Überprüfen der Dienstprinzipalnamen Externe BCS-Inhaltstypen werden innerhalb des Kontexts des IIS-Anwendungspools mithilfe des ECT-Typs ausgeführt, wenn BCS-Daten in SharePoint-Websites verwendet werden. Damit BCS mithilfe von Kerberos-Authentifizierung eine Verbindung zu externen Datenquellen herstellt und bei diesen Datenquellen eine Authentifizierung durchführt, müssen für die Dienstkonten des IIS-Anwendungspools und für das Dienstkonto für die externe Datenquelle Dienstprinzipalnamen konfiguriert sein. Informationen zum Konfigurieren und Überprüfen der erforderlichen Dienstprinzipalnamen in den Webanwendungen und SQL Server-Dienstkonten finden Sie in den Szenarien 1 und 2 in diesem Dokument. Konfigurieren der Delegierung Damit BCS die Identität des Clients delegieren kann, muss Kerberos-Delegierung konfiguriert werden. Technisch gesehen ist zwar die eingeschränkte Delegierung nicht erforderlich – beispielsweise kann in Excel Services uneingeschränkte Delegierung für BCS verwendet werden –, doch hat es sich bewährt, den Umfang der Delegierungen zu begrenzen, die der Dienst ausführen kann. Deshalb wird in diesem Beispiel eingeschränkte Delegierung konfiguriert. Jedes IIS-Anwendungspool-Dienstkonto, von dem die Website mit dem externen Inhaltstyp gehostet wird, muss so konfiguriert werden, dass Delegierung an die BackEnd-Dienste erlaubt ist. In unserem Beispiel werden die folgenden Delegierungspfade benötigt: 225 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Prinzipaltyp Prinzipalname Erforderliche Stellvertretungen User svcPortal10App MSSQLSVC/MySqlCluster.vmlab.local:1433 User svcTeams10App MSSQLSVC/MySqlCluster.vmlab.local:1433 So konfigurieren Sie die eingeschränkte Delegierung 1. Öffnen Sie die Eigenschaften des Active Directory-Objekts in Active DirectoryBenutzer und -Computer. 2. Navigieren Sie zur Registerkarte Delegierung. 226 Identitätsdelegierung für Business Connectivity Services (SharePoint Server 2010) 3. Wählen Sie Benutzer bei Delegierungen angegebener Dienste vertrauen aus. Hinweis: Wenn BCS bei Datenquellen innerhalb derselben Gesamtstruktur, aber außerhalb der Domäne, in der sich SharePoint Server befindet, authentifiziert werden muss, empfiehlt es sich, Computer bei Delegierungen aller Dienste vertrauen auszuwählen, um einfache Delegierung statt eingeschränkter Delegierung zu konfigurieren. Der externe BCSInhaltstyp wird im IIS-Arbeitsprozess der Webanwendung ausgeführt und verwendet nicht den Forderungen-zu-Windows-Tokens-Dienst (C2WTS). Denken Sie daran, dass eine gesamtstrukturübergreifende Kerberos-Delegierung nicht möglich ist. 4. Klicken Sie auf die Schaltfläche Hinzufügen, um den Dienstprinzipal auszuwählen, an den delegiert werden kann. 5. Wählen Sie Benutzer und Computer aus. 227 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 6. Wählen Sie das Dienstkonto aus, mit dem der Dienst ausgeführt wird, an den die Delegierung erfolgen soll. In diesem Beispiel ist dies das Dienstkonto für den SQL Server-Dienst. Hinweis: Dem ausgewählten Dienstkonto muss ein Dienstprinzipalname zugeordnet sein. In unserem Beispiel wurde der Dienstprinzipalname für dieses Konto in einem vorherigen Szenario konfiguriert. 7. Klicken Sie auf OK. 8. Wählen Sie die zu delegierenden Dienstprinzipalnamen aus, und klicken Sie dann auf OK. 228 Identitätsdelegierung für Business Connectivity Services (SharePoint Server 2010) 9. Wählen Sie die Dienste für den SQL Server-Cluster aus, und klicken Sie auf OK. Die ausgewählten Dienstprinzipalnamen sollten nun in der Liste Dienste, für die dieses Konto delegierte Anmeldeinformationen verwenden kann angezeigt werden: 10. Wiederholen Sie diese Schritte für jeden Delegierungspfad, der weiter oben in diesem Abschnitt angegeben wurde. Überprüfen Sie den MSSQLSVC-Dienstprinzipalnamen für das Dienstkonto, mit dem der Dienst auf dem Server mit SQL Server ausgeführt wird (in Szenario 2 erfolgt). Überprüfen Sie mit dem folgenden SetSPN-Befehl, ob der Dienstprinzipalname für das SQL Server-Dienstkonto (vmlab\svcSQL) vorhanden ist: 229 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte SetSPN -L vmlab\svcSQL Folgendes sollte angezeigt werden: MSOLAPSvc.3/MySqlCluster MSSQLSVC/MySqlCluster.vmlab.local:1433 SharePoint Server-Konfiguration Starten der BCS-Dienstinstanz Bevor Sie eine BCS-Dienstanwendung erstellen, starten Sie den BCS-Dienst auf den vorgesehenen Farmservern. 1. Öffnen Sie die Zentraladministration. 2. Wählen Sie unter Dienste die Option Dienste auf dem Server verwalten aus. 3. Wählen Sie im Feld Serverauswahl in der rechten oberen Ecke den bzw. die Server mit Excel Services. In diesem Beispiel ist dies VMSP10APP01. 4. Starten Sie den Business Data Connectivity-Dienst. 230 Identitätsdelegierung für Business Connectivity Services (SharePoint Server 2010) Erstellen der BCS-Dienstanwendung Konfigurieren Sie als Nächstes eine neue BDC-Dienstanwendung und einen Anwendungsproxy, damit Webanwendungen BDC-Dienste verwenden können: 1. Öffnen Sie die Zentraladministration. 2. Klicken Sie unter Anwendungsverwaltung auf Dienstanwendungen verwalten. 3. Klicken Sie auf Neu und dann auf Business Data Connectivity-Dienst. 4. Konfigurieren Sie die neue Dienstanwendung. Wählen Sie das ordnungsgemäße Dienstkonto aus (erstellen Sie ein neues verwaltetes Konto, falls das BDCDienstkonto nicht in der Liste enthalten ist). 231 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Überprüfung Erstellen eines externen BCS-Inhaltstyps Für den Zugriff auf externe Daten über BDC muss ein externer BDC-Inhaltstyp erstellt werden. Im aktuellen Beispiel erstellen wir den externen Inhaltstyp mithilfe von SharePoint Designer 2010 in der Portalwebanwendung (http://portal): 1. Öffnen Sie SharePoint Designer 2010. 2. Öffnen Sie die Testwebsitesammlung unter „http://portal“. 232 Identitätsdelegierung für Business Connectivity Services (SharePoint Server 2010) 3. Klicken Sie im linken Navigationsbereich auf Externe Inhaltstypen. 4. Klicken Sie im Abschnitt Neu des Menübands in der linken oberen Ecke der Seite auf Externer Inhaltstyp. 233 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 5. Geben Sie einen Anzeigenamen für den externen Inhaltstyp ein. 234 Identitätsdelegierung für Business Connectivity Services (SharePoint Server 2010) 6. Klicken Sie dann auf Klicken Sie hier, um externe Datenquellen zu ermitteln und Vorgänge zu definieren. 7. Klicken Sie auf Verbindung hinzufügen. 235 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 8. Wählen Sie in der Dropdownliste Datenquellentyp den Eintrag SQL Server aus, und fügen Sie die Informationen zum Herstellen der Verbindung zur Testdatenbank hinzu. Wählen Sie unbedingt Verbindung mit der Identität des Benutzers herstellen aus, um die Delegierung zu testen. 236 Identitätsdelegierung für Business Connectivity Services (SharePoint Server 2010) 9. Erweitern Sie die neue Verbindung. Klicken Sie mit der rechten Maustaste auf die Testtabelle (Sales), und wählen Sie Alle Vorgänge erstellen aus. 10. Es sollte eine Fehlermeldung angezeigt werden, wonach kein eindeutiger Bezeichner definiert ist. Wählen Sie die Bezeichnerspalte aus, und aktivieren Sie das Kontrollkästchen Zuzuordnender Bezeichner. Klicken Sie auf Fertig stellen, um die Standardoptionen zu übernehmen und die Vorgänge für den externen Inhaltstyp zu erstellen. 237 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 11. Klicken Sie auf Speichern (STRG+S). Dadurch wird der externe Inhaltstyp im Metadatenspeicher der BDC-Dienstanwendung gespeichert. Konfigurieren der Sicherheit für BCS Bevor Clients den externen BCS-Inhaltstyp in der Portalwebanwendung verwenden können, müssen BCS-Berechtigungen konfiguriert werden. BCS unterstützt ein differenziertes Berechtigungsmodell. Zu Demozwecken konfigurieren wir jedoch Sicherheit auf der Metadatenspeicherebene und geben die Änderungen in Bezug auf Sicherheit an alle Objekte im Speicher weiter. 1. Öffnen Sie die Zentraladministration. 2. Klicken Sie unter Anwendungsverwaltung auf Dienstanwendungen verwalten. 238 Identitätsdelegierung für Business Connectivity Services (SharePoint Server 2010) 3. Klicken Sie auf den Link für die neue Dienstanwendung, in diesem Beispiel Business Data Services. 4. Wählen Sie Berechtigungen für den Metadatenspeicher festlegen aus. 239 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 5. Im aktuellen Beispiel haben wir für Organisations-Admins alle Berechtigungen und für Alle authentifizierten Benutzer alle Berechtigungen mit Ausnahme von Berechtigungen festlegen erteilt. 6. Stellen Sie sicher, dass das Kontrollkästchen Berechtigungen weitergeben aktiviert ist, und klicken Sie auf OK, um die Änderungen zu speichern. Erstellen einer externen BCS-Liste Zum Testen des externen Inhaltstyps konfigurieren wir eine externe Liste zum Anzeigen der externen Daten in der Portalanwendung: 1. Öffnen Sie SharePoint Designer 2010. 2. Öffnen Sie die Testwebsitesammlung unter „http://portal“. 240 Identitätsdelegierung für Business Connectivity Services (SharePoint Server 2010) 3. Wählen Sie im linken Bereich Externe Inhaltstypen aus. 241 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 242 Identitätsdelegierung für Business Connectivity Services (SharePoint Server 2010) 4. Klicken Sie auf den Inhaltstyp, den Sie zuvor erstellt haben. 5. Klicken Sie auf dem Menüband auf Listen und Formulare erstellen. 6. Klicken Sie bei der Aufforderung, den externen Inhaltstyp zu speichern, auf Ja. 7. Geben Sie im Dialogfeld Liste und Formular erstellen im Textfeld Listenname einen Namen für die Liste ein, und klicken Sie auf OK. Öffnen der externen Liste im Browser 1. Öffnen Sie SharePoint Designer 2010. 2. Öffnen Sie die Testwebsitesammlung unter „http://portal“. 243 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 3. Klicken Sie im linken Navigationsbereich auf Listen und Bibliotheken. 4. Wählen Sie die externe Liste am unteren Ende der Liste Listen und Bibliotheken aus. 5. Klicken Sie auf die Schaltfläche Browservorschau. 244 Identitätsdelegierung für Business Connectivity Services (SharePoint Server 2010) Internet Explorer wird geöffnet, und die ausgewählte Website und externe Liste wird angezeigt. 245 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte 6. Vergewissern Sie sich, dass die externen Daten korrekt angezeigt werden. Zur weiteren Überprüfung der Verbindung ändern Sie die Quelldaten in SQL Server Management Studio und aktualisieren die Browserseite. Die Datenänderungen sollten im Browser wiedergegeben werden. 246 Bekannte Kerberos-Konfigurationsprobleme (SharePoint Server 2010) Bekannte KerberosKonfigurationsprobleme (SharePoint Server 2010) Veröffentlichung: 02.12.10 Kerberos-Authentifizierung und NichtStandardports Es gibt ein bekanntes Problem mit Kerberos-Clients (u. a. .NET Framework, Internet Explorer 7 und 8), die beim Versuch der Authentifizierung mit für Kerberos aktivierten Webanwendungen, die für Nicht-Standardports (andere Ports als 80 und 443) konfiguriert sind, keine ordnungsgemäßen Dienstprinzipalnamen bilden. Die Ursache des Problems ist, dass der Client den Dienstprinzipalnamen in der TGS-Anforderung nicht ordnungsgemäß bildet, da die Angabe ohne Portnummer erfolgt (wie beim Sname der TGS-Anforderung gesehen). Beispiel: Wenn die Webanwendung unter http://intranet.contoso.com:1234 ausgeführt wird, fordert der Client ein Ticket für den Dienst mit dem Dienstprinzipalnamen http/intranet.contoso.com anstatt http/intranet.contoso.com:1234 an. Einzelheiten zu dem Problem finden Sie in den folgenden Artikeln: Internet Explorer 6 kann nicht das Kerberos-Authentifizierungsprotokoll verwenden, um eine Verbindung zu einer Website herzustellen, die einen nicht standardmäßigen Port in Windows XP und Windows Server 2003 verwendet (http://support.microsoft.com/kb/908209/de-de) Konfigurieren der Kerberos-Authentifizierung (Office SharePoint Server 2007) (http://go.microsoft.com/fwlink/?LinkId=196987&clcid=0x407) Registrieren Sie zum Umgehen dieses Problems Dienstprinzipalnamen mit und ohne Portnummer. Beispiel: http://intranet.contoso.com:12345 247 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte http/intranet http/intranet.contoso.com http/intranet:12345 http/intranet.contoso.com:12345 Es wird empfohlen, den Nicht-Standardport zu registrieren, um sicherstellen, dass bei Behebung des Problems in einem künftigen Service Pack oder Hotfix die Anwendungen, die die Problemumgebung verwenden, weiter funktionieren. Beachten Sie, dass diese Problemumgehung bei folgenden Bedingungen nicht funktioniert: Am Nicht-Standardport werden mehrere Webanwendungen ausgeführt. Die Webanwendungen sind entweder an den Hostnamen des Servers oder denselben Hostheader (an unterschiedlichen Ports) gebunden. Die IIS-Anwendungspools der Webanwendung verwenden unterschiedliche Dienstkonten. http://server.contoso.com:5000 AppPool Id: contoso\svcA http://server.contoso.com:5001 AppPool Id: contoso\svcB Wenn diese Bedingungen zutreffen, führt das Befolgen der Empfehlung in dieser Problemumgehung zu doppelten Dienstprinzipalnamen, die bei verschiedenen Dienstkonten registriert sind, wodurch die Kerberos-Authentifizierung nicht mehr funktioniert. Wenn es mehrere Websites mit einem gemeinsamen Hostnamen gibt, der an mehreren Ports verwendet wird, und Sie unterschiedliche IIS-Anwendungspoolidentitäten für die Webanwendungen verwenden, kann die Kerberos-Authentifizierung nicht für alle Websites verwendet werden. (Eine Anwendung kann mit Kerberos arbeiten, während die anderen ein anderes Authentifizierungsprotokoll benötigen.) Damit Kerberos bei diesem Szenario für alle Anwendungen verwendet werden kann, müssen Sie einen der folgenden Schritte ausführen: 1. Alle Webanwendungen unter einem gemeinsamen Dienstkonto ausführen 2. Jede Website mit einem eigenen Hostheader ausführen 248 Bekannte Kerberos-Konfigurationsprobleme (SharePoint Server 2010) Kerberos-Authentifizierung und DNS CNAMEs Es gibt ein bekanntes Problem mit Kerberos-Clients (u. a. .NET Framework, Internet Explorer 7 und 8), die versuchen, sich mit für Kerberos aktivierten Diensten zu authentifizieren und für die eine Auflösung mithilfe von DNS CNAMEs anstatt mithilfe von A-Einträgen konfiguriert ist. Die Ursache des Problems ist, dass der Client in der TGSAnforderung den Dienstprinzipalnamen nicht ordnungsgemäß bildet, da er unter Verwendung des Hostnamens (A-Eintrag) anstatt des Aliasnamens (CNAME) erstellt wird. Beispiel: A-Eintrag: wfe01.contoso.com CNAME: intranet.contoso.com (als Alias zu wfe01.contoso.com) Wenn der Client eine Authentifizierung mit http://intranet.contoso.com versucht, bildet der Client den Dienstprinzipalnamen nicht ordnungsgemäß und fordert ein Kerberos-Ticket für http/wfe01.contoso.com anstatt für http/intranet.contoso.com an. Einzelheiten zu dem Problem finden Sie in den folgenden Artikeln: http://support.microsoft.com/kb/911149/de-de http://support.microsoft.com/kb/938305/de-de Konfigurieren Sie zum Umgehen dieses Problems für Kerberos aktivierte Dienste mit DNS A-Einträgen anstatt CNAME-Aliasen. Der im Knowledge Base-Artikel erwähnte Hotfix korrigiert dieses Problem für Internet Explorer, aber nicht für .NET Framework (das von Microsoft Office SharePoint Server für die Webdienstkommunikation verwendet wird). 249 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Kerberos- und Kernelmodusauthentifizierung Hinweis: Die Kernelmodusauthentifizierung wird von SharePoint Server 2010-Produkten nicht unterstützt. Diese Angaben dienen ausschließlich zu Informationszwecken. Ab Internetinformationsdienste 7.0 (IIS) gibt es mit der Kernelmodusauthentifizierung eine neue Authentifizierungsmöglichkeit. Wenn eine IIS-Website für die Kernelmodusauthentifizierung konfiguriert ist, werden die Anforderungen des Clients automatisch durch HTTP.sys und nicht durch den Arbeitsprozess des Anwendungspools authentifiziert. Da HTTP.sys im Kernelmodus ausgeführt wird, ergibt sich eine bessere Leistung, wenn auch mit ein wenig mehr Komplexität hinsichtlich der Konfiguration von Kerberos. Der Grund ist, dass HTTP.sys unter der Identität des Computers und nicht unter der des Arbeitsprozesses ausgeführt wird. Wenn HTTP.sys ein Kerberos-Ticket empfängt, wird automatisch versucht, das Ticket mithilfe des Entschlüsselungsschlüssels (bzw. geheimen Schlüssels) des Servers und nicht mithilfe des Schlüssels der Identität zu entschlüsseln, unter der der Arbeitsprozess ausgeführt wird. Wenn ein einzelner Webserver für die Kernelmodusauthentifizierung konfiguriert ist, funktioniert Kerberos ohne zusätzliche Konfiguration oder Dienstprinzipalnamen, da der Server automatischen einen Host-Dienstprinzipalnamen registriert, wenn er der Domäne hinzugefügt wird. Wenn mehrere Webserver dem Lastenausgleich unterliegen, funktioniert die Standardkonfiguration der Kernelmodusauthentifizierung nicht bzw. zwischenzeitlich nicht, da der Client keine Möglichkeit hat sicherzustellen, dass das in der TSG-Anforderung empfangene Dienstticket mit dem Server funktioniert, der die Anforderung authentifiziert. Gehen Sie zum Umgehen dieses Problems wie folgt vor: Deaktivieren Sie die Kernelmodusauthentifizierung. Konfigurieren Sie HTTP.sys zum Entschlüsseln von Diensttickets für die Verwendung der Identität des IIS-Anwendungspools. Siehe Einstellungen für die Kernelmodusauthentifizierung in Internetinformationsdienste 7.0 (Internet Information Services, IIS). Sie benötigen ggf. auch einen Hotfix, wenn Sie HTTP.sys für die Verwendung der Anmeldeinformationen des Anwendungspools konfigurieren: Update: Wenn das 250 Bekannte Kerberos-Konfigurationsprobleme (SharePoint Server 2010) AppPoolCredentials-Attribut auf „True“ festgelegt ist, erhalten Sie eine Stop 0x000000A5-Fehlermeldung auf einem blauen Bildschirm, wenn Sie ein Domänenkonto als Identität des Anwendungspools in IIS 7.0 verwenden Kerberos- und sitzungsbasierte Authentifizierung Bei der Verwendung der Kerberos-Authentifizierung mit IIS 7.0 oder höher kommt es ggf. zu mehr Authentifizierungsdatenverkehr, was an die WindowsAuthentifizierungseinstellungen in IIS liegen kann, insbesondere an Folgendem: Einstellung Beschreibung AuthPersistNonNTLM Optionales boolesches Attribut. Gibt an, ob IIS automatisch alle Nicht-NTLMAnforderungen (z. B. Kerberos) erneut authentifiziert, auch diejenigen über dieselbe Verbindung. Falls True, werden mehrere Authentifizierungen für dieselben Verbindungen aktiviert. Der Standardwert ist False. Hinweis: Die Einstellung False bedeutet, dass der Client für dieselbe Verbindung nur einmal authentifiziert wird. IIS speichert ein Token oder Ticket auf dem Server für eine TCP-Sitzung, das eingerichtet bleibt. authPersistSingleRequest Optionales boolesches Attribut. Die Einstellung True gibt an, dass die Authentifizierung nur für eine einzelne Anforderung über eine Verbindung gilt. IIS setzt die Authentifizierung am Ende jeder Anforderung zurück und erzwingt die erneute Authentifizierung für die nächste Anforderung der Sitzung. Der Standardwert ist False. 251 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Anweisungen zum Konfigurieren der Authentifizierungspersistenz in IIS 7.0 finden Sie unter Möglicherweise verlangsamte Leistung, wenn Sie die integrierte WindowsAuthentifizierung mit Kerberos-Authentifizierungsprotokoll in IIS 7.0 verwenden und Implementierung der Zugriffssteuerung. Kerberos-Authentifizierung und Probleme mit doppelten/fehlenden Dienstprinzipalnamen Beim Konfigurieren der Kerberos-Authentifizierung kann es leicht passieren, dass doppelte Dienstprinzipalnamen konfiguriert werden, insbesondere wenn Sie SetSPN -A oder das ADSI Edit-Tool (adsiedit.msc) zum Erstellen Ihrer Dienstprinzipalnamen verwenden. Generell wird empfohlen, zum Erstellen von Dienstprinzipalnamen SetSPN S zu verwenden, da der Parameter -S nach einem doppelten Dienstprinzipalnamen sucht, bevor der angegebene Dienstprinzipalname erstellt wird. Wenn Sie in Ihrer Umgebung doppelte Dienstprinzipalnamen vermuten, rufen Sie den Befehl SetSPN -X auf, um alle doppelten Dienstprinzipalnamen in Ihrer Umgebung abzurufen (nur unter Windows 2008 und höher). Wenn Dienstprinzipalnamen zurückgegeben werden, sollten Sie untersuchen, warum die Dienstprinzipalnamen registriert wurden, und nicht benötigte Duplikate löschen. Wenn Sie zwei Dienste haben, die mit zwei unterschiedlichen Identitäten ausgeführt werden, und beide denselben Dienstprinzipalnamen nutzen, müssen Sie einen dieser Dienste entweder für die Verwendung eines anderen Dienstprinzipalnamens konfigurieren oder beide eine gemeinsame Dienstidentität verwenden lassen. Wenn Sie vermuten, dass ein Dienstprinzipalname nicht bzw. nicht im erforderlichen Format registriert wurde, können Sie den Befehl SetSPN -Q <Dienstprinzipalname einfügen> aufrufen, um zu prüfen, ob ein bestimmter Dienstprinzipalname vorhanden ist. 252 Bekannte Kerberos-Konfigurationsprobleme (SharePoint Server 2010) Maximale Größe des Kerberos-Tokens In bestimmten Umgebungen sind Benutzer ggf. Mitglieder vieler Active DirectoryGruppen, wodurch sich die Größe ihrer Kerberos-Tickets erhöhen kann. Wenn die Tickets zu groß werden, kann die Kerberos-Authentifizierung misslingen. Weitere Informationen zum Anpassen der maximalen Tokengröße finden Sie unter Neue Lösung für Probleme mit Kerberos-Authentifizierung, wenn Benutzer mehreren Gruppen angehören (http://support.microsoft.com/kb/327825/de-de). Hinweis: Beachten Sie beim Anpassen der maximalen Tokengröße, dass bei Festlegung einer maximalen Tokengröße über den Maximalwert der Registrierungseinstellung hinaus, es ggf. zu Kerberos-Authentifizierungsfehlern kommt. Als maximale Tokengröße sollte 65535 (dezimal) bzw. FFFF (hexadezimal) nicht überschritten werden. Hotfixes für die Kerberos-Authentifizierung für Windows Server 2008 und Windows Vista Kerberos-Authentifizierung misslingt bei Verwenden des AES-Algorithmus auf einem Computer mit Windows Server 2008 oder Windows Vista mit dem Fehlercode 0X80090302 oder 0x8009030f (http://support.microsoft.com/kb/969083/de-de) Sie müssen ggf. auf allen Computern mit Windows Server 2008 und Windows Vista in Ihrer Umgebung einen Hotfix für die Kerberos-Authentifizierung installieren. Dazu zählen alle Computer mit SharePoint Server 2010, SQL Server bzw. Windows Server 2008, bei denen sich SharePoint Server mithilfe der Kerberos-Authentifizierung authentifizieren möchte. Befolgen Sie die Anweisung auf der Supportseite zum Anwenden des Hotfix, wenn die dokumentierten Symptome in Ihrer Umgebung auftreten sollten. 253 Konfigurieren der Kerberos-Authentifizierung für SharePoint 2010-Produkte Zurücksetzen des C2WTS-Kontos (SharePoint Server 2010) Veröffentlichung: 02.12.10 Szenario: Das C2WTS-Konto (Claims to Windows Token Service, Forderungen an den Windows-Tokendienst) wird versehentlich geändert oder muss auf den Standardwert zurückgesetzt werden. Lösung Der Forderungen an den Windows-Tokendienst (C2WTS) kann nicht mithilfe der Zentraladministration auf das lokale Systemkonto zurückgesetzt werden. Die folgenden Windows PowerShell-Cmdlets können zum Zurücksetzen des Forderungen an den Windows-Tokendiensts (C2WTS) auf das lokale System verwendet werden. Starten Sie die SharePoint-Verwaltungsshell auf dem Computer mit SharePoint Server. Führen Sie das folgende Cmdlet aus, um eine Liste der Dienste anzuzeigen. Get-SPServiceInstance Suchen und kopieren Sie die ID des Forderungen an den Windows-Tokendiensts (C2WTS). Klicken Sie mit der rechten Maustaste in das Windows PowerShell-Fenster, und wählen Sie Markieren aus. Auf diese Weise können Sie die ID mit dem Mauscursor auswählen und kopieren. Drücken Sie die EINGABETASTE auf der Tastatur, nachdem Sie die ID hervorgehoben haben. Testen Sie die ID durch Ausführen des folgenden Cmdlets. 254 Zurücksetzen des C2WTS-Kontos (SharePoint Server 2010) Get-SPServiceInstance -identity <ID des Forderungen an den Windows-Tokendiensts (C2WTS) einfügen> Klicken Sie mit der rechten Maustaste in das PowerShell-Fenster, und fügen Sie die zuvor kopierte ID ein. Legen Sie im nächsten Schritt eine Variable fest, indem Sie das folgende Cmdlet ausführen: $claims = get-spserviceinstance -identity <ID des Forderungen an den WindowsTokendiensts (C2WTS) einfügen> Führen Sie die folgenden Cmdlets aus, um C2WTS auf das lokale System zurückzusetzen: $claims.Service.ProcessIdentity.CurrentIdentityType=0 // The 0 in the preceding line is IdentityType.LocalSystem $claims.Service.ProcessIdentity.Update() $claims.Service.ProcessIdentity.Deploy() $claims.Service.ProcessIdentity // This output demonstrates that the cmdlet was successful CurrentIdentityType : LocalSystem CurrentSecurityIdentifier : S-1-5-18 ManagedAccount : ProcessAccount : S-1-5-18 Username : NT AUTHORITY\SYSTEM 255