SQL Server
Deutschland (Deutsch) Anmelden
Home 2012 2008 R2 2008 Vorherige Versionen Library Foren
Dieser Artikel wurde manuell übersetzt. Bewegen Sie den Mauszeiger über die Sätze im Artikel, um den Originaltext anzuzeigen. Weitere Informationen
Übersetzung
Original
1 von 1 fanden dies hilfreich - Dieses Thema bewerten.

Claims to Windows Token Service (C2WTS)

SQL Server 2012

Der C2WTS-Dienst (Claims to Windows Token Service) von SharePoint ist erforderlich, wenn Sie die Windows-Authentifizierung für Datenquellen verwenden möchten, die außerhalb der SharePoint-Farm liegen. Dies gilt auch, wenn der Benutzer über die Windows-Authentifizierung auf die Datenquellen zugreift, weil die Kommunikation zwischen dem Web-Front-End (WFE) und dem freigegebenen Reporting Services-Dienst immer der forderungsbasierten Authentifizierung unterliegt.

C2WTS wird auch dann benötigt, auch sich die Datenquelle(n) auf demselben Computer wie der freigegebene Dienst befinden. In diesem Szenario ist jedoch keine eingeschränkte Delegierung erforderlich.

Die von C2WTS erstellten Token funktionieren nur bei der eingeschränkten Delegierung (Einschränkungen für bestimmte Dienste) und bei Verwendung der Konfigurationsoption Beliebiges Authentifizierungsprotokoll verwenden. Wenn sich die Datenquellen auf demselben Computer wie der freigegebene Dienst befinden, ist wie oben bereits erwähnt keine eingeschränkte Delegierung erforderlich.

Wenn in der Umgebung die eingeschränkte Kerberos-Delegierung verwendet wird, dann müssen sich der SharePoint Server-Dienst und externe Datenquellen in derselben Windows-Domäne befinden. Jeder Dienst, der auf C2WTS (Claims to Windows Token Service) basiert, muss die eingeschränkte Kerberos-Delegierung verwenden, damit C2WTS den Kerberos-Protokollübergang verwenden kann, um Claims in Windows-Anmeldeinformationen zu übersetzen. Diese Anforderungen gelten für alle SharePoint Shared Services. Weitere Informationen finden Sie unter Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte (Übersicht) (http://technet.microsoft.com/de-de/library/gg502594.aspx).

Die Schritte werden unten zusammengefasst, stellen jedoch keine umfassende Aufstellung aller Einzelschritte dar.

Hinweis Hinweis

Hinweis: Einige der Konfigurationsschritte ändern sich möglicherweise oder funktionieren nicht in bestimmten Farmtopologien. Bei der Installation eines einzelnen Servers werden beispielsweise keine Windows Identity Foundations-C2WTS-Dienste unterstützt, sodass Claims to Windows Token-Delegierungsszenarien innerhalb dieser Farmkonfiguration nicht zulässig sind.

Grundlegende Schritte für die C2WTS-Konfiguration

  1. Konfigurieren Sie das Dienstkonto, das Sie für das C2WTS-Konto verwenden möchten. Das Konto, das Sie für C2WTS-Anforderungen verwenden, muss über die folgenden Berechtigungen für lokale Richtlinien verfügen:

    • Einsetzen als Teil des Betriebssystems

    • Annehmen der Identität eines Clients nach der Authentifizierung

    • Anmelden als Dienst

    Das Konto, das Sie für C2WTS verwenden, muss außerdem für die eingeschränkte Delegierung mit Protokollübergang konfiguriert werden. Außerdem benötigt es Berechtigungen für die Delegierung an Dienste, mit denen es kommunizieren muss (d.h. SQL Server Engine, SQL Server Analysis Services). Verwenden Sie das Snap-In "Active Directory-Benutzer und -Computer", um die Delegierung zu konfigurieren.

    1. Klicken Sie mit der rechten Maustaste auf jedes Dienstkonto, und öffnen Sie das Eigenschaftendialogfeld. Klicken Sie im Dialogfeld auf die Registerkarte Delegierung.

      Hinweis Hinweis

      Hinweis: Die Registerkarte Delegierung ist nur sichtbar, wenn dem Objekt ein SPN zugewiesen wurde. C2WTS erfordert grundsätzlich keinen SPN für das C2WTS-Konto; ohne einen SPN ist die Registerkarte Delegierung jedoch nicht sichtbar. Eine Alternative zur Konfiguration der eingeschränkten Delegierung ist die Verwendung des Hilfsprogramms ADSIEdit.

    2. Wesentliche Konfigurationsoptionen auf der Registerkarte "Delegierung":

      • Option "Benutzer bei Delegierungen angegebener Dienste vertrauen"

      • Option "Beliebiges Authentifizierungsprotokoll verwenden"

      Weitere Informationen finden Sie im Abschnitt über die Konfiguration der eingeschränkten Kerberos-Delegierung für Computer und Dienstkonten im folgenden Whitepaper Configuring Kerberos authentication for SharePoint 2010 and SQL Server 2008 R2 products.

  2. Konfigurieren von C2WTS 'AllowedCallers'

    C2WTS erfordert, dass die Identitäten der 'Aufrufer' in der Konfigurationsdatei c2wtshost.exe.config explizit aufgeführt sind. C2WTS akzeptiert keine Anforderungen sämtlicher authentifizierter Benutzer im System, e sei denn, der Dienst wurde entsprechend konfiguriert. In diesem Fall entspricht der 'Aufrufer' der WSS_WPG-Windows-Gruppe. Die Datei c2wtshost.exe.config wird im folgenden Ordner gespeichert:

    \Programme\Windows Identity Foundation\v3.5 \c2wtshost.exe.config

    Im folgenden Beispiel wird die Konfigurationsdatei gezeigt:

    Kopieren 
    <configuration>
  <windowsTokenService>
    <!--
        By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service.
        Add the identities you wish to allow below.
      -->
    <allowedCallers>
      <clear/>
      <add value="WSS_WPG" />
    </allowedCallers>
  </windowsTokenService>
</configuration>

  3. Starten Sie den C2WTS-Dienst des Betriebssystems:

    1. Konfigurieren Sie den Dienst für die Verwendung des Dienstkontos, das Sie im vorangehenden Schritt konfiguriert haben.

    2. Ändern Sie den Starttyp in Automatisch, und starten Sie den Dienst.

  4. Starten Sie den Claims to Windows Token Service von SharePoint: Starten Sie den Claims to Windows Token Service über die SharePoint-Zentraladministration auf der Seite Dienste auf dem Server verwalten. Der Dienst sollte auf dem Server gestartet werden, auf dem die Aktion ausgeführt wird. Wenn Sie z. B. über einen WFE-Server und einen Anwendungsserver verfügen, auf dem der freigegebene Reporting Services-Dienst ausgeführt wird, müssen Sie C2WTS nur auf dem Anwendungsserver starten. C2WTS wird auf dem WFE-Server nicht benötigt.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)

Community-Beiträge

HINZUFÜGEN
© 2013 Microsoft
|
Feedback zur Website
© 2013 Microsoft. Alle Rechte vorbehalten.