Technik:CoPlanner Spezial

Aus CoPlanner 11
Zur Navigation springenZur Suche springen

CoPlanner Spezial

Excel Client Embedded

Mit dem CopAddOn “ExcelClientEmbedded” (in Version unter Tools verfügbar) ist es möglich, Excel Dateien im CoPlanner zu öffnen. Voraussetzung ist die Installation von Microsoft Excel und dem CoPlanner Excel Client. Um auch bei der Installation von Office 2007 Excel Arbeitsblätter im CoPlanner eingebettet, und nicht als externes Programm, aufrufen zu können muss folgende Option im System gesetzt sein: Im Windows Browser (nicht IE) unter Extras -> Ordneroptionen, Reiter Datentypen „XLS“ auswählen und auf „Erweitert“ klicken.

Technik, Ordneroptionen

Unter der Option für „Öffnen“, Optionen wie folgt setzen:

Technik, Dateityp bearbeiten

SSPI – Double Hop

Das Double Hop Problem tritt in Verbindung mit der SSPI Anmeldung auf, wenn die Analysis Services auf einem anderen Rechner installiert sind als der CoPlanner Server. Dadurch kann sich der Client unter Umständen nicht mehr erfolgreich an dem Analysis Server authentifizieren. Per Default versuchen die Windows Clients sich mit Kerberos am CoPlanner Server zu authentifizieren. Ist eine Kerberos Anmeldung nicht möglich wird automatisch auf NTLM gewechselt. In Verbindung mit dem Double Hop Problem ist jedoch eine Kerberos Authentifizierung Voraussetzung.

Einrichtung Kerberos Authentifizierung

Damit die gegenseitige Authentifizierung unter Kerberos unterstützt wird, muss die Instanz des CoPlanner Servers dem Konto, unter dem sie ausgeführt wird (z.B. einem lokalen Systemkonto oder einem Domänenbenutzerkonto), ein Dienstprinzipalname (Service Principal Name, SPN) zugeordnet werden. Die Authentifizierung wird unter dem Port 11000 / TCP durchgeführt. Grundsätzlich muss dabei dem Rechner auf dem der CoPlanner Server läuft das Delegierungsrecht gegeben werden. Dies kann über das Active Directory eingestellt werden. Zusätzlich muss auch dem User unter dem der CoPlanner Server läuft dieses Recht gegeben werden:

Der SPN Name kann frei gewählt werden. Läuft der CoPlanner Server bspw. unter dem User „h.ludwig“ und gehört der User h.ludwig der Domäne graz.coplanner.com an so kann der SPN mit dem Tool „ADSIEdit.msc“ (ist in den Microsoft Windows Server-Supporttools enthalten) wie folgt konfiguriert werden:

1. Klicken Sie auf Start und anschließend auf Ausführen, und geben Sie adsiedit.msc ein, um die ADSIEdit-MMC-Konsole zu starten.
2. Stellen Sie ggf. eine Verbindung mit der Domäne des Standortservers her.
3. Erweitern Sie im Konsolenbereich die Domäne des Standortservers, erweitern Sie DC=<definierter Name des Servers> und anschließend CN=Benutzer, und klicken Sie mit der rechten Maustaste auf CN=<Dienstkontobenutzer>. Klicken Sie im Kontextmenü auf Eigenschaften.
4. Fügen Sie im Dialogfeld CN=Eigenschaften von <Dienstkontobenutzer> unter dem Wert servicePrincipalName den entsprechenden CoPlanner SPN Wert hinzu:
Technik, Einrichtung Kerberos Authentifizierung

In diesem Fall wurde als SPN Name „cop“ gewählt und für den Rechner „wksut“ registriert. Der CoPlanner Dienst muss daher unter dem User „h.ludwig“ auf dem Rechner „wksut“ installiert sein. In der Datei „SvrConfig.xml“ (ist im Server Ordner) muss anschließend noch der SPN Name eingetragen werden: 

<add key="SSPIServicePrincipalName" value="cop/wksut.graz.coplanner.com"/>


Anmerkungen

  • Testtool

Für Testzwecke ist in Version unter Tools / SSPI ein Client – Server Testtool vorhanden. Die Datei „Server.exe“ muss dabei unter demselben User wie der CoPlanner Server gestartet werden. In der Datei „settings.xml“ im Client Ordner (unterscheidet sich vom CoPlanner insofern, dass das dort am Server eingtragen werden muss) muss der SPN Name und der Hostname auf dem der Server gestartet wird eingetragen werden. Anschließend kann die Datei „Client.exe“ auf einem beliebigen Rechner unter einem Domänen Benutzer ausgeführt werden. Das Serverfenster zeigt anschließend die Verbindungsdaten an. Bei einer erfolgreichen Kerberos Authentifizierung sollte das Ergebnis wie folgt aussehen:


  • Debug

Zusätzlich ist es auch mit folgenden Registry Einträgen möglich Kerberos Fehler im Eventlog zu protokollieren: Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos]
"LogLevel"=dword:00000001
"LogToFile"=dword:00000001
"KerbDebugLevel"=dword:000000c3
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Domains]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters]
"MaxPacketSize"=dword:00000001
"LogLevel"=dword:00000001
"LogToFile"=dword:00000001
"KerbDebugLevel"=dword:000000c3
  • SPN

Meistens wird der Fehler bei nicht funktionierender Kerberos Authentifizierung bei der SPN Konfiguration liegen. SPN's können auf Computerebene oder Userebene registriert werden. Wenn der CoPlanner Dienst unter dem User "lokales System" läuft muss der SPN für den Computer registriert werden. Läuft der Dienst unter einem User, muss der SPN für dne Domain Account gesetzt werden.

Das Tool SetSPN.exe ist dabei sehr nützlich. setspn sollte auf dem AD Controller verfügbar sein.

Überprüfen ob doppelte Einträge existieren:

setspn -X

Überprüfen ob doppelte Einträge existieren:

setspn -X

Setzt den SPN Eintrag für den User coplanner_graz\h.ludwig und den Rechner wksut (Immer beide setzen!). Anschließend könnte der Eintrag in der Datei „SvrConfig.xml“ "cop/wksut" lauten:

setspn -S cop/wksut.graz.coplanner.com coplanner_graz\h.ludwig

setspn -S cop/wksut coplanner_graz\h.ludwig

Löschen von Einträgen:

SetSpn -d cop/wksut coplanner_graz\h.ludwig

SetSpn -d cop/wksut.graz.coplanner.com coplanner_graz\h.ludwig

Speichert alle SPN's in die Datei "check_SPN.txt":

ldifde -f check_SPN.txt -t 3268 -d "" -l servicePrincipalName -r "(servicePrincipalName=*)" -p subtree

Abgerufen von „https://copsupport.coplanner.com/help11/index.php?title=Technik:CoPlanner_Spezial&oldid=16189