Übersicht über Claims to Windows Token Service (c2WTS) und Reporting ServicesClaims to Windows Token Service (c2WTS) and Reporting Services

Dieses Thema gilt für:JaSQL Server 2016keinePower BI-BerichtsserverTHIS TOPIC APPLIES TO:yesSQL Server 2016noPower BI Report Server JaIm integrierten SharePoint-ModusSharePoint integrated mode

Der SharePoint-Dienst „Claims to Windows Token Service“ (C2WTS) ist im SharePoint-Modus von Reporting ServicesReporting Services erforderlich, wenn Sie die Windows-Authentifizierung für Datenquellen verwenden möchten, die außerhalb der SharePoint-Farm liegen.The SharePoint Claims to Windows Token Service (c2WTS) is required with Reporting ServicesReporting Services SharePoint mode if you want to use Windows Authentication for data sources that are outside the SharePoint farm. Dies gilt auch, wenn der Benutzer über die Windows-Authentifizierung auf die Datenquellen zugreift, weil die Kommunikation zwischen dem Web-Front-End (WFE) und dem gemeinsamen Dienst für Reporting ServicesReporting Services immer der Forderungsauthentifizierung unterliegt.This is true even if the user accesses the data sources with Windows Authentication because the communication between the web front-end (WFE) and the Reporting ServicesReporting Services shared service will always be Claims Authentication.

c2WTS wird auch dann benötigt, auch sich die Datenquelle(n) auf demselben Computer wie der gemeinsame Dienst befinden.c2WTS is needed even if your data source(s) are on the same computer as the shared service. In diesem Szenario ist jedoch keine eingeschränkte Delegierung erforderlich.However in this scenario, constrained delegation is not needed.

Die von c2WTS erstellten Token funktionieren nur bei der eingeschränkten Delegierung (Einschränkungen für bestimmte Dienste) und bei Verwendung der Konfigurationsoption "Beliebiges Authentifizierungsprotokoll verwenden".The tokens created by c2WTS will only work with constrained delegation (constrains to specific services) and the configuration option "using any authentication protocol". Wenn sich die Datenquellen auf demselben Computer wie der gemeinsame Dienst befinden, ist wie oben bereits erwähnt keine eingeschränkte Delegierung erforderlich.As noted earlier, if your data sources are on the same computer as the shared service, then constrained delegation is not needed.

Wenn in der Umgebung die eingeschränkte Kerberos-Delegierung verwendet wird, dann müssen sich der SharePoint Server-Dienst und externe Datenquellen in derselben Windows-Domäne befinden.If your environment will use Kerberos constrained delegation, then the SharePoint Server service and external data sources need to reside in the same Windows domain. Jeder Dienst, der auf C2WTS (Claims to Windows Token Service) basiert, muss die eingeschränkte Kerberos-Delegierung verwenden, damit C2WTS den Kerberos-Protokollübergang verwenden kann, um Ansprüche (Claims) in Windows-Anmeldeinformationen zu übersetzen.Any service that relies on the Claims to Windows token service (c2WTS) must use Kerberos constrained delegation to allow c2WTS to use Kerberos protocol transition to translate claims into Windows credentials. Diese Anforderungen gelten für alle gemeinsamen SharePoint-Dienste.These requirements are true for all SharePoint Shared Services. Weitere Informationen finden Sie unter Planen der Kerberos-Authentifizierung in SharePoint 2013.For more information, see Plan for Kerberos authentication in SharePoint 2013.

Die Prozedur wird in diesem Thema zusammengefasst.The procedure is summarized in this topic.

VoraussetzungenPrerequisites

Hinweis

Hinweis: Einige der Konfigurationsschritte ändern sich möglicherweise oder funktionieren nicht in bestimmten Farmtopologien.Note: Some of the configuration steps may change, or may not work in certain farm topologies. Bei der Installation eines einzelnen Servers werden beispielsweise keine Windows Identity Foundations-c2WTS-Dienste unterstützt, sodass Claims to Windows Token-Delegierungsszenarien innerhalb dieser Farmkonfiguration nicht zulässig sind.For instance, a single server install does not support the Windows Identity Foundation c2WTS services so claims to windows token delegation scenarios are not possible with this farm configuration.

Wichtig

Wenn Sie Power View für Power Pivot-Arbeitsmappen zu verwenden, müssen Sie zusätzliche Konfigurationsschritte für Office Online Server durchführen: Office Online Server overview(Übersicht über Office Online Server).If you are using Power View to work against Power Pivot workbooks, you will need to do additional configuration for Office Online Server overview. Weitere Informationen finden Sie in den folgenden Whitepapers:For more information, see the following white papers.

Grundlegende Schritte für die c2WTS-KonfigurationBasic steps needed to configure c2WTS

  1. Konfigurieren Sie das c2WTS-Dienstkonto.Configure the c2WTS service account. Fügen Sie das Dienstkonto der lokalen Administratorengruppe auf jedem Anwendungsserver, auf dem c2WTS ausgeführt wird, hinzu.Add the service account to the local Administrators group on each application server running c2WTS. Stellen Sie außerdem sicher, dass das Konto über die folgenden lokalen Sicherheitsrichtlinienrechte verfügt:In addition, verify that the account has the following local security policy rights:

    • Einsetzen als Teil des BetriebssystemsAct as part of the operating system

    • Annehmen der Identität eines Clients nach der AuthentifizierungImpersonate a client after authentication

    • Anmelden als DienstLog on as a service

  2. Konfigurieren Sie die Delegierung für das c2WTS-Dienstkonto.Configure delegation for the c2WTS service account. Das Konto muss für die eingeschränkte Delegierung mit Protokollübergang konfiguriert werden. Außerdem benötigt es Berechtigungen für die Delegierung an Dienste, mit denen es kommunizieren muss (d.h. SQL Server Engine, SQL Server Analysis Services).The account needs Constrained Delegation with Protocol Transitioning and permissions to delegate to the services it is required to communicate with (i.e. SQL Server Engine, SQL Server Analysis Services). Verwenden Sie das Snap-In "Active Directory-Benutzer und -Computer", um die Delegierung zu konfigurieren.To configure delegation you can use the Active Directory Users and Computer snap-in.

    Wichtig

    Alle Einstellungen, die Sie für das C2WTS-Dienstkonto auf der Registerkarte „Delegierung“ konfigurieren, müssen dem Reporting Services-Dienstkonto entsprechen.Whatever settings you configure for the C2WTS service account, on the delegation tab, needs to match the Reporting Services Service account. Wenn Sie C2WTS-Dienstkonto beispielsweise erlauben, an einen SQL-Dienst zu delegieren, müssen Sie auf dem Reporting Services-Dienstkonto dieselbe Konfiguration verwenden.For example, if you allow the C2WTS service account to delegate to a SQL Service, you need to do the same on the Reporting Services service account.

    1. Klicken Sie mit der rechten Maustaste auf jedes Dienstkonto, und öffnen Sie das Eigenschaftendialogfeld.Right-click each service account and open the properties dialog. Klicken Sie im Dialogfeld auf die Registerkarte Delegierung .In the dialog click the Delegation tab.

      Hinweis

      Hinweis: Die Registerkarte „Delegierung“ ist nur sichtbar, wenn dem Objekt ein Dienstprinzipalname (Service Prinicpal Name; SPN) zugewiesen wurde.Note: the delegation tab is only visible if the object has a Service Prinicpal Name (SPN) assigned to it. C2WTS erfordert grundsätzlich keinen SPN für das C2WTS-Konto; ohne einen SPN ist die Registerkarte Delegierung jedoch nicht sichtbar.c2WTS does not require an SPN on the c2WTS Account, however, without an SPN, the Delegation tab will not be visible. Eine Alternative zur Konfiguration der eingeschränkten Delegierung ist die Verwendung des Hilfsprogramms ADSIEdit.An alternative way to configure constrained delegation is to use a utility such as ADSIEdit.

    2. Wesentliche Konfigurationsoptionen auf der Registerkarte "Delegierung":Key configuration options on the delegation tab are the following:

      • Option "Benutzer bei Delegierungen angegebener Dienste vertrauen"Select “Trust this user for delegation to specified services only”

      • Option "Beliebiges Authentifizierungsprotokoll verwenden"Select “Use any authentication protocol”

    3. Wählen Sie Hinzufügen zum Hinzufügen eines Dienstes, an den Sie delegieren können.Select Add to add a service to delegate to.

    4. Wählen Sie Benutzer oder Computer... , und geben Sie das Konto, das den Dienst hostet.Select **Users or Computers...** and enter the account that hosts the service. Angenommen, ein SQL-Server ausgeführt wird, unter einem Konto mit dem Namen Sqlservice, geben Sie sqlservice.For example, if a SQL Server is running under an account named sqlservice, enter sqlservice.

    5. Wählen Sie die Darstellung des Diensts.Select the service listing. Dadurch werden die SPNs angezeigt, die über dieses Konto verfügbar sind.This will show the SPNs that are available on that account. Wenn der Dienst unter diesem Konto nicht angezeigt wird, fehlt er möglicherweise oder befindet auf einem anderen Konto.If you don't see the service listed on that account, it may be missing or placed on a different account. Sie können das SetSPN-Dienstprogramm verwenden, um die SPNs anzupassen.you can use the SetSPN utility to adjust SPNs.

    6. Wählen Sie „OK“ aus, um die Dialogfelder zu verlassen.Select OK to get out of the dialogs.

  3. Konfigurieren von c2WTS 'AllowedCallers'Configure c2WTS ‘AllowedCallers’

    C2WTS erfordert, dass die Identitäten der „Aufrufer“ in der Konfigurationsdatei c2WTShost.exe.configexplizit aufgeführt werden.c2WTS requires the ‘callers’ identities explicitly listed in the configuration file, c2WTShost.exe.config. c2WTS akzeptiert keine Anforderungen sämtlicher authentifizierter Benutzer im System, e sei denn, der Dienst wurde entsprechend konfiguriert.c2WTS does not accept requests from all authenticated users in the system unless it is configured to do so. In diesem Fall entspricht der 'Aufrufer' der WSS_WPG-Windows-Gruppe.In this case the ‘caller’ is the WSS_WPG Windows group. Die Datei c2WTShost.exe.config wird im folgenden Ordner gespeichert:The c2WTShost.exe.confi file is saved in the following location:

    Hinweis

    Durch die Änderung des Dienstkontos für den C2WTS-Dienst in der SharePoint-Zentraladministration wird das Konto der Gruppe „WSS_WPG“ hinzugefügt.Changing the service account within SharePoint Central Admin, for the C2WTS service, will add that account to the WSS_WPG group.

    \Programme\Windows Identity Foundation\v3.5 \c2WTShost.exe.config\Program Files\Windows Identity Foundation\v3.5\c2WTShost.exe.config

    Im folgenden Beispiel wird die Konfigurationsdatei gezeigt:The following is an example of the configuration file:

    <configuration>  
      <windowsTokenService>  
        <!--  
            By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service.  
            Add the identities you wish to allow below.  
          -->  
        <allowedCallers>  
          <clear/>  
          <add value="WSS_WPG" />  
        </allowedCallers>  
      </windowsTokenService>  
    </configuration>  
    
  4. Starten Sie den Claims to Windows Token Service von SharePoint: Starten Sie den Claims to Windows Token Service über die SharePoint-Zentraladministration auf der Seite Dienste auf dem Server verwalten .Start the SharePoint ‘Claims to Windows Token Service’: Start the Claims to Windows Token Service through SharePoint Central Administration on the Manage Services on Server page. Der Dienst sollte auf dem Server gestartet werden, auf dem die Aktion ausgeführt wird.The service should be started on the server that will be performing the action. Wenn Sie z.B. über einen WFE-Server und einen Anwendungsserver verfügen, auf dem der gemeinsame Dienst von Reporting ServicesReporting Services ausgeführt wird, müssen Sie C2WTS nur auf dem Anwendungsserver starten.For example if you have a server that is a WFE and another server that is an Application Server that has the Reporting ServicesReporting Services shared service running, you only need to start c2WTS on the Application Server. c2WTS wird auf dem WFE-Server nicht benötigt.c2WTS is not needed on the WFE.

Nächste SchritteNext steps

Übersicht über Claims to Windows Token Service (C2WTS) Claims to Windows Token Service (c2WTS) Overview
Planen der Kerberos-Authentifizierung in SharePoint 2013Plan for Kerberos authentication in SharePoint 2013

Weiteren Fragen wenden?More questions? Versuchen Sie das Reporting Services-Forum stellenTry asking the Reporting Services forum