PowerPivot for SharePoint 2010 的标识委派 (SharePoint Server 2010)

适用于： Excel Services, SharePoint Server 2010

上一次修改主题： 2016-11-30

环境和服务器场拓扑中介绍的服务器场拓扑不需要 Kerberos 身份验证 PowerPivot for Microsoft SharePoint 2010 即可工作。PowerPivot 系统服务是声明感知服务，并使用声明为 Windows 令牌服务 (C2WTS) 通过客户端的声明令牌重新创建客户端的 Windows 标识，以便与应用程序服务器上运行的 Analysis Service Vertipaq 引擎连接。

PowerPivot 工作簿上载到 SharePoint Server 时，它已包含工作簿使用的 PowerPivot 数据。用户在 Excel Web Access 中打开 PowerPivot 工作簿并与切片器交互时，PowerPivot 系统服务将工作簿中的数据直接加载到其 Analysis Services 引擎。不对工作簿中嵌入的数据连接进行访问。

PowerPivot 工作簿的数据刷新作业开始执行时，PowerPivot 系统服务使用 SharePoint Server Secure Store Service 中存储的凭据执行 Windows 登录。因为 Windows 标识是在应用程序服务器上创建的，所以从 PowerPivot Analysis Services Vertipaq 引擎（在同一计算机 VMSP10APP01 上）到 MySQLCluster 的连接是第一个 NTLM 跃点。

需要 Kerberos 身份验证的方案

从上面的讨论中可以看出，PowerPivot 的最常见情况不需要 Kerberos 身份验证。不过，有一些需要 Kerberos 身份验证的不常见边缘情况。例如，如果 PowerPivot 工作簿包含与 SQL Server 实例的数据连接，并且该 SQL Server 实例又链接到单独计算机上的另一 SQL Server 实例，则需要使用标识委派配置 Kerberos 身份验证，以便数据刷新正常工作。例如，如果 MySQLCluster 链接到另一远程 SQL Server 实例，则从 MySQLCluster 到链接的远程服务器的链接是第二个跃点。在这种情况下，仅使用 NTLM 已不能满足要求。必须配置 Kerberos 委派才能成功处理数据刷新。

尽管这些内容超出了本文定义的方案的范围，但是为 PowerPivot 配置标识委派的主要步骤如下：

1. 将 C2WTS Windows 服务的服务帐户更改为域帐户（例如，VMLAB\svcC2WTS）。配置 C2WTS 是较大的主题，在本文档的其他方案中有详细介绍：

   • 在 Excel Services 服务器上配置和启动“声明为 Windows 令牌服务”

   • 在 Visio 图形服务器上配置和启动“声明为 Windows 令牌服务”

   • 在 PerformancePoint Services 服务器上配置和启动“声明为 Windows 令牌服务”

2. 将委派从 VMLAB\svcSQL 帐户配置到链接的 SQL Server 实例配置清单的 SPN。

方案依赖关系

严格地说，PowerPivot for SharePoint 不需要以下 Kerberos 身份验证方案。但是，如果成功完成这些方案，则可以加速 PowerPivot for SharePoint 安装过程，因为组件本身是 PowerPivot for SharePoint 的必备组件。

• 方案 1：核心配置

• 方案 2：SQL OLTP 的 Kerberos 身份验证

• （可选）方案 3：SQL Analysis Services 的 Kerberos 身份验证

• 方案 5：Excel Services 的标识委派

配置说明

在应用程序服务器 (vmsp10app01) 上安装 PowerPivot for SharePoint。有关详细说明，请参阅 MSDN Library Online 中的如何在三层 SharePoint 场中安装 PowerPivot for SharePoint。如果已经执行本文中的依赖方案，则可以跳过 MSDN 文章中方案依赖关系已经涉及的部分。