Claims to Windows Token Service (C2WTS) und Reporting ServicesClaims to Windows Token Service (C2WTS) and Reporting Services

DIESES THEMA GILT FÜR:THIS TOPIC APPLIES TO: jaSQL Server Reporting Services (2016 und höher)SQL Server Reporting Services (2016 and later) jaSharePointSharePoint jaPower BI-BerichtsserverPower BI Report Server

Claims to Windows Token Service (C2WTS) von SharePoint ist erforderlich, wenn Sie Berichte im einheitlichen Modus im SQL Server Reporting Services-Berichts-Viewer-Webpart abrufen möchten.The SharePoint Claims to Windows Token Service (C2WTS) is required if you want to view native mode reports within the SQL Server Reporting Services Report Viewer web part.

C2WTS ist außerdem im SharePoint-Modus von SQL Server Reporting Services erforderlich, wenn Sie die Windows-Authentifizierung für Datenquellen verwenden möchten, die außerhalb der SharePoint-Farm liegen.C2WTS is also required with SQL Server Reporting Services SharePoint mode if you want to use Windows authentication for data sources that are outside the SharePoint farm. C2WTS wird auch dann benötigt, auch sich die Datenquelle(n) auf demselben Computer wie der gemeinsame Dienst befinden.C2WTS is needed even if your data source(s) are on the same computer as the shared service. In diesem Szenario ist jedoch keine eingeschränkte Delegierung erforderlich.However in this scenario, constrained delegation is not needed.

Hinweis

Die Integration von Reporting Services in SharePoint ist nach SQL Server 2016 nicht mehr möglich.Reporting Services integration with SharePoint is no longer available after SQL Server 2016.

Konfiguration des Berichts-Viewer-WebpartsReport Viewer web part configuration

Das Berichts-Viewer-Webpart kann verwendet werden, um SQL Server Reporting Services-Berichte im einheitlichen Modus in Ihre SharePoint-Website einzubetten.The Report Viewer web part can be used to embed SQL Server Reporting Services native mode reports within your SharePoint site. Dieses Webpart ist für SharePoint 2013 und SharePoint 2016 verfügbar.This web part is available for SharePoint 2013 and SharePoint 2016. Sowohl SharePoint 2013 als auch SharePoint 2016 verwenden die Forderungsauthentifizierung.Both SharePoint 2013 and SharePoint 2016 make use of claims authentication. SQL Server Reporting Services (im einheitlichen Modus) verwendet standardmäßig die Windows-Authentifizierung.SQL Server Reporting Services (native mode) uses Windows authentication by default. Aus diesem Grund muss C2WTS richtig konfiguriert sein, damit Berichte einwandfrei gerendert werden können.As a result, C2WTS needs to be configured properly for reports to render correctly.

Integration des SharePoint-ModusSharePoint mode integaration

Dieser Abschnitt gilt nur für SQL Server 2016 Reporting Services und früher.This section only applies to SQL Server 2016 Reporting Services and earlier.

Der SharePoint-Dienst Claims to Windows Token Service (C2WTS) ist im SharePoint-Modus von SQL Server Reporting Services erforderlich, wenn Sie die Windows-Authentifizierung für Datenquellen verwenden möchten, die außerhalb der SharePoint-Farm liegen.The SharePoint Claims to Windows Token Service (C2WTS) is required with SQL Server Reporting Services SharePoint mode if you want to use Windows Authentication for data sources that are outside the SharePoint farm. Dies gilt auch, wenn der Benutzer über die Windows-Authentifizierung auf die Datenquellen zugreift, weil die Kommunikation zwischen dem Web-Front-End und dem gemeinsamen Reporting Services-Dienst immer der Forderungsauthentifizierung unterliegt.This is true even if the user accesses the data sources with Windows Authentication because the communication between the web front-end (WFE) and the Reporting Services shared service will always be Claims Authentication.

Grundlegende Schritte für die C2WTS-KonfigurationSteps needed to configure c2WTS

Die von C2WTS erstellten Token funktionieren nur bei der eingeschränkten Delegierung (Einschränkungen für bestimmte Dienste) und bei Verwendung der Konfigurationsoption Beliebiges Authentifizierungsprotokoll verwenden.The tokens created by C2WTS will only work with constrained delegation (constrains to specific services) and the configuration option "using any authentication protocol". Wenn sich die Datenquellen auf demselben Computer wie der gemeinsame Dienst befinden, ist wie oben bereits erwähnt keine eingeschränkte Delegierung erforderlich.As noted earlier, if your data sources are on the same computer as the shared service, then constrained delegation is not needed.

Wenn in der Umgebung die eingeschränkte Kerberos-Delegierung verwendet wird, dann müssen sich der SharePoint Server-Dienst und externe Datenquellen in derselben Windows-Domäne befinden.If your environment will use Kerberos constrained delegation, then the SharePoint Server service and external data sources need to reside in the same Windows domain. Jeder Dienst, der auf C2WTS (Claims to Windows Token Service) basiert, muss die eingeschränkte Kerberos-Delegierung verwenden, damit C2WTS den Kerberos-Protokollübergang verwenden kann, um Ansprüche (Claims) in Windows-Anmeldeinformationen zu übersetzen.Any service that relies on the Claims to Windows token service (c2WTS) must use Kerberos constrained delegation to allow c2WTS to use Kerberos protocol transition to translate claims into Windows credentials. Diese Anforderungen gelten für alle gemeinsamen SharePoint-Dienste.These requirements are true for all SharePoint Shared Services. Weitere Informationen finden Sie unter Planen der Kerberos-Authentifizierung in SharePoint 2013.For more information, see Plan for Kerberos authentication in SharePoint 2013.

  1. Konfigurieren Sie das C2WTS-Dienstkonto.Configure the C2WTS service account. Fügen Sie das Dienstkonto der lokalen Administratorgruppe auf jedem Server hinzu, auf dem C2WTS ausgeführt wird.Add the service account to the local Administrators group on each server that C2WTS will be used.

    Für das Berichts-Viewer-Webpart sind das die Web-Front-End-Server (WFE).For the Report Viewer web part, this will be the Web Front End (WFE) servers. Für den integrierten SharePoint-Modus sind das die Anwendungsserver, auf denen der Reporting Services-Dienst ausgeführt wird.For SharePoint integrated mode, this will be the application servers where the Reporting Services service is running.

  2. Konfigurieren Sie die Delegierung für das C2WTS-Dienstkonto.Configure delegation for the C2WTS service account.

    Das Konto muss für die eingeschränkte Delegierung mit Protokollübergang konfiguriert werden. Außerdem benötigt es Berechtigungen für die Delegierung an Dienste, mit denen es kommunizieren muss (d.h. SQL Server-Datenbankmodul oder SQL Server Analysis Services).The account needs Constrained Delegation with Protocol Transitioning and permissions to delegate to the services it is required to communicate with (i.e. SQL Server Database Engine, SQL Server Analysis Services). Verwenden Sie das Snap-In „Active Directory-Benutzer und -Computer“, um die Delegierung zu konfigurieren. Dafür müssen Sie als Domänenadministrator angemeldet sein.To configure delegation you can use the Active Directory Users and Computer snap-in and will need to be a domain administrator.

    Wichtig

    Alle Einstellungen, die Sie für das C2WTS-Dienstkonto auf der Registerkarte „Delegierung“ konfigurieren, müssen dem Hauptdienstkonto entsprechen.Whatever settings you configure for the C2WTS service account, on the delegation tab, needs to match the main service account being used. Für das Berichts-Viewer-Webpart ist dies das Dienstkonto für die SharePoint-Webanwendung.For the Report Viewer web part, this will be the service account for the SharePoint web application. Für den integrierten SharePoint-Modus ist dies das Reporting Services-Dienstkonto.For SharePoint integrated mode, this will be the Reporting Services service account.

    Wenn Sie dem C2WTS-Dienstkonto beispielsweise erlauben, Delegierungen an einen SQL-Dienst durchzuführen, müssen Sie auf dem Reporting Services-Dienstkonto für den integrierten SharePoint-Modus dieselbe Konfiguration verwenden.For example, if you allow the C2WTS service account to delegate to a SQL Service, you need to do the same on the Reporting Services service account for SharePoint integrated mode.

    • Klicken Sie mit der rechten Maustaste auf jedes Dienstkonto, und öffnen Sie das Eigenschaftendialogfeld.Right-click each service account and open the properties dialog. Klicken Sie im Dialogfeld auf die Registerkarte Delegierung .In the dialog click the Delegation tab.

      Die Registerkarte „Delegierung“ ist nur sichtbar, wenn dem Objekt ein Dienstprinzipalname (Service Prinicpal Name, SPN) zugewiesen wurde.The delegation tab is only visible if the object has a Service Prinicpal Name (SPN) assigned to it. C2WTS erfordert grundsätzlich keinen SPN für das C2WTS-Konto. Ohne einen SPN ist die Registerkarte Delegierung jedoch nicht sichtbar.C2WTS does not require an SPN on the C2WTS Account, however, without an SPN, the Delegation tab will not be visible. Eine Alternative zur Konfiguration der eingeschränkten Delegierung ist die Verwendung des Hilfsprogramms ADSIEdit.An alternative way to configure constrained delegation is to use a utility such as ADSIEdit.

    • Wesentliche Konfigurationsoptionen auf der Registerkarte "Delegierung":Key configuration options on the delegation tab are the following:

      • Klicken Sie auf Benutzer bei Delegierungen angegebener Dienste vertrauen.Select Trust this user for delegation to specified services only
      • Klicken Sie auf Beliebiges Authentifizierungsprotokoll verwenden.Select Use any authentication protocol
    • Wählen Sie Hinzufügen zum Hinzufügen eines Dienstes, an den Sie delegieren können.Select Add to add a service to delegate to.

    • Klicken Sie auf **Benutzer oder Computer...***, und geben Sie das Konto ein, das den Dienst hostet.Select Users or Computers...* and enter the account that hosts the service. Wenn ein SQL Server beispielsweise unter einem Konto namens sqlservice ausgeführt wird, geben Sie sqlservice ein.For example, if a SQL Server is running under an account named sqlservice, enter sqlservice.

    • Wählen Sie die Darstellung des Diensts.Select the service listing. Dadurch werden die SPNs angezeigt, die über dieses Konto verfügbar sind.This will show the SPNs that are available on that account. Wenn der Dienst unter diesem Konto nicht angezeigt wird, fehlt er möglicherweise oder befindet auf einem anderen Konto.If you don't see the service listed on that account, it may be missing or placed on a different account. Sie können das SetSPN-Dienstprogramm verwenden, um die SPNs anzupassen.you can use the SetSPN utility to adjust SPNs.

    • Wählen Sie „OK“ aus, um die Dialogfelder zu verlassen.Select OK to get out of the dialogs.

  3. Konfigurieren Sie C2WTS-AllowedCallers (Zulässige Aufrufer).Configure C2WTS AllowedCallers.

    C2WTS erfordert, dass die Identitäten der „Aufrufer“ in der Konfigurationsdatei c2WTShost.exe.config explizit aufgeführt werden. C2WTS akzeptiert keine Anforderungen sämtlicher authentifizierter Benutzer im System, e sei denn, der Dienst wurde entsprechend konfiguriert.C2WTS requires the ‘callers’ identities explicitly listed in the configuration file, C2WTShost.exe.config. C2WTS does not accept requests from all authenticated users in the system unless it is configured to do so. In diesem Fall entspricht der „Aufrufer“ der WSS_WPG-Windows-Gruppe.In this case the 'caller' is the WSS_WPG Windows group. Die Datei „C2WTShost.exe.config“ wird im folgenden Ordner gespeichert:The C2WTShost.exe.confi file is saved in the following location:

    Durch die Änderung des Dienstkontos für den C2WTS-Dienst in der SharePoint-Zentraladministration wird das Konto der Gruppe „WSS_WPG“ hinzugefügt.Changing the service account within SharePoint Central Admin, for the C2WTS service, will add that account to the WSS_WPG group.

    \Programme\Windows Identity Foundation\v3.5 \c2WTShost.exe.config\Program Files\Windows Identity Foundation\v3.5\c2WTShost.exe.config

    Im folgenden Beispiel wird die Konfigurationsdatei gezeigt:The following is an example of the configuration file:

    <configuration>
      <windowsTokenService>
        <!--  
            By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service.  
            Add the identities you wish to allow below.  
          -->
        <allowedCallers>
          <clear/>
          <add value="WSS_WPG" />
        </allowedCallers>
      </windowsTokenService>
    </configuration>
    
  4. Starten Sie den Claims to Windows Token Service über die SharePoint-Zentraladministration auf der Seite Dienste auf dem Server verwalten.Start the Claims to Windows Token Service through SharePoint Central Administration on the Manage Services on Server page. Der Dienst sollte auf dem Server gestartet werden, auf dem die Aktion ausgeführt wird.The service should be started on the server that will be performing the action. Wenn Sie z.B. über einen WFE-Server und einen Anwendungsserver verfügen, auf dem der gemeinsame Dienst von SQL Server Reporting Services ausgeführt wird, müssen Sie C2WTS nur auf dem Anwendungsserver starten.For example if you have a server that is a WFE and another server that is an Application Server that has the SQL Server Reporting Services shared service running, you only need to start C2WTS on the Application Server. C2WTS ist nur für einen WFE-Server erforderlich, wenn Sie das Berichts-Viewer-Webpart ausführen.C2WTS is only required on a WFE server if you are running the Report Viewer web part.

Haben Sie dazu Fragen?More questions? Stellen Sie eine Frage im Reporting Services-ForumTry asking the Reporting Services forum