Jak konfigurovat instance SQL Server 2000 Analysis Services na používání ověřování pomocí protokolu Kerberos

Překlady článku Překlady článku
ID článku: 828280 - Produkty, které se vztahují k tomuto článku.
Tento článek byl archivován. Je nabízen v takovém stavu, v jakém je, a nebude již nadále aktualizován.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Při připojení k počítači se službou Analysis Services 2000 Microsoft SQL Server a připojení zahrnuje scénář ověřování dvojím směrováním, musíte použít jako protokol ověřování Kerberos. Například v případě dvojím směrováním ověřování klientského počítače může předat přihlašovací pověření počítače se systémem Internetová informační služba (IIS). Počítač se spuštěnou službou IIS musí potom předat přihlašovací pověření počítače serveru pro analýzu. Tento článek popisuje nakonfigurujte počítač serveru analýzy použití Kerberos ověřovací protokol.

Nakonfigurujte počítač serveru analýzy použití ověřovacího protokolu Kerberos

Nakonfigurujte počítač serveru analýzy použití jako ověřovací protokol Kerberos, postupujte takto:
  1. Nainstalovat Analysis Services Service Pack 3 (SP3) nebo novější v počítači serveru pro analýzu a klientské počítače připojit k počítači serveru pro analýzu.
  2. Registrovat názvu služby (SPN) analýza služby (MSSQLServerOLAPService) v počítači server Analysis Services.

    Poznámka: Pokud je služba MSSQLServerOLAPService spuštěna v kontextu zabezpečení účtu LocalSystem, hlavní název služby vytvořen automaticky. MSSQLServerOLAPService služba je spuštěna v kontextu zabezpečení účet než účet LocalSystem, musíte ručně vytvořit hlavní název služby. To provedete pomocí nástroje Setspn.exe Microsoft Windows 2000 Resource Kit. Chcete-li stáhnout nástroj Setspn, naleznete na následujícím webu:
    http://www.microsoft.com/downloads/details.aspx?familyid=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46
    Po stažení nástroje Setspn postupujte takto:
    1. Vytvořit SPN pro počítač serveru analýzy, která je spuštěna pomocí účtu domény, spusťte následující příkaz příkazového řádku:
      full_path_of_Setspn.exe -A MSOLAPSvc/serverHostName.Fully_Qualified_domainNameserverHostName OLAP_Service_Startup_Account
    2. Musíte vytvořit SPN pro počítač serveru analýzy, který je spuštěn pod účtem LocalSystem, spusťte následující příkaz příkazového řádku:
      full_path_of_Setspn.exe -A MSOLAPSvc/serverHostName serverHostName
      
    3. Chcete-li ověřit, zda byla vytvořena hlavní název služby pro analýzy serveru počítače spusťte následující příkazy příkazového řádku:
      full_path_of_Setspn.exe -L OLAP_Service_Startup_Account
      
      full_path_of_Setspn.exe -L hostName
    4. Pokud hlavní název služby byl úspěšně vytvořen pro analýzy serveru počítače výsledky příkaz provedený v kroku 2a nebo kroku 2b se obvykle zobrazí v následujícím formátu:
      MSOLAPSvc/serverHostName.domainName MSOLAPSvc/serverHostName
  3. Udělit následující uživatelská práva k uživatelskému účtu domény, který se používá jako přihlašovací účet pro službu MSSQLServerOLAPService:
    • Přihlaste se jako služba
    • Jednat jako součást operačního systému
    • Nahradit token úrovně procesu
    • Vytvoření objektu tokenu
    Poznámka: Můžete udělit uživatelská práva k uživatelskému účtu domény pomocí nástroje Místní zásady zabezpečení v ovládacím panelu Nástroje pro správu.
  4. Oprávnění Úplné řízení udělit do skupiny OLAP Administrators Windows na složky BIN a data v instalační složce Analysis Services. Cesta tyto složky v počítači serveru analýzy může být podobná následující:
    • C:\Program Files\Microsoft Analysis Services\BIN
    • C:\Program Files\Microsoft Analysis Services\Data
  5. Přidat uživatelský účet domény jako člena OLAP Administrators Windows skupiny.
  6. Pokud úložiště služby pro analýzu byl migrován na SQL Server, musí mít účet uživatele domény oprávnění db_owner na databáze úložiště.

Konfigurace Počítačů Analysis server a klientské počítače Analysis Services

Ujistěte se, že na analýze platí následující podmínky počítačů serveru a v klientských počítačích Analysis Services:
  • Analýza počítačů serveru se systémem Microsoft Windows 2000 nebo novější.
  • Analýza počítačů serveru jsou v systému Windows stejné domény nebo v doménách systému Windows, které mají obousměrný vztah důvěryhodné. Doménách systému Windows jsou pomocí služby Active Directory.
  • Systém hodiny na analýze počítačů serveru jsou synchronizovány. Pomocí příkazu net time k synchronizaci hodin systému. Další informace o příkazu net time naleznete na následujícím webu:
    http://technet2.microsoft.com/WindowsServer/f/?en/Library/fbf96287-fc67-46bf-8e9e-e79623e85ab51033.mspx
  • Vlastnost Zóny zpětného vyhledávání je nakonfigurován na počítačích Analysis server.

    Poznámka: Služba pro analýzu provádí zpětné vyhledávání adresy IP klientského počítače vyřešit název NetBIOS.

    Další informace o vytvoření zóny zpětného vyhledávání, klepněte na následující číslo článku databáze Microsoft Knowledge Base:
    308201Jak vytvořit nové zóny na serveru DNS v systému Windows 2000
  • Nastavení Upřednostňované DNS na všech Analysis Services klientských počítačů v doméně systému Windows přejděte na stejný název služby DNS server. Další informace o způsobu konfigurace upřednostňovaného serveru DNS naleznete na následujícím webu:
    http://technet2.microsoft.com/WindowsServer/f/?en/Library/28cc8d8c-20fb-4cdb-8915-8df5905cbcf51033.mspx

Konfigurovat nastavení služby Active Directory

Ujistěte se, že pro nastavení služby Active Directory platí následující podmínky:
  • Pro uživatelské účty, bude delegováno není povoleno nastavení účet je citlivý a nelze jej delegovat.
  • Účet je důvěryhodný pro delegování nastavení není povoleno pro uživatelské účty, bude delegováno.
  • Pokud se přihlásit ke službě MSSQLServerOLAPService používá účet domény, nastavení účet je důvěryhodný pro delegování povoleno pro účet domény.
  • Účet je důvěryhodný pro delegování nastavení je povolen pro účet procesu pro libovolnou součást COM +.
  • V počítači se spuštěnou službou IIS je povoleno nastavení Důvěřovat počítači pro delegování.

Konfigurace klientských počítačů Analysis Services

Ujistěte se, že jsou v klientských počítačích Analysis Services platí obě následující podmínky:
  • Internet Explorer 5.0 nebo novější nainstalována.
  • Pokud v počítači je nainstalována aplikace Internet Explorer 6.0, povolte možnost zabezpečení Povolit Integrované ověření systémem Windows (vyžaduje restartování).

    Poznámka: Možnost Povolit Integrované ověření systémem Windows (vyžaduje restartování) je ve skupinovém rámečku zabezpečení na kartě Upřesnit v dialogovém okně Možnosti Internetu. Pravděpodobně k restartování počítače Toto nastavení se projeví.

Konfigurovat nastavení na počítači se spuštěnou službou IIS

Konfigurace metabáze IIS použít Negotiate a NTLM. Další informace o provedení tohoto postupu naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
215383Jak nakonfigurovat službu IIS tak, aby podporovala ověřování v síti pomocí protokolu Kerberos i NTLM (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Pokud fond aplikací služby IIS je spuštěna pod účtem domény, postupujte takto:
  1. Vytvořit SPN HTTP pro tento účet. Do příkazového řádku zadejte následující příkaz:
    Setspn - a HTTP / FQDN MyAppPoolServiceAccount
    Poznámka: V tomto příkazu je FQDN úplný doménový název počítače se spuštěnou službou IIS. MyAppPoolServiceAccount je účet, který IIS používá fondu aplikací.
  2. Účet fondu aplikací udělit uživatelské právo "Jednat jako část operačního systému" a "zosobnit klienta po ověření „ uživatelské právo.
Ujistěte se, že v počítači se spuštěnou službou IIS v případě ověřování dvojím směrováním platí následující podmínky:
  • Následující nastavení jsou nakonfigurovány v IIS webový server nebo virtuální adresář, který byl vytvořen pro klienta webové aplikace:
    • Metoda ověřování pro zabezpečení adresářů je nastavit Integrované ověřování systému Windows nebo Základního ověřování.
    • Je nastavena úroveň ochrany aplikace Vysoká (samostatný).
  • Webový server nebo virtuální adresář, který byl vytvořen pro webovou aplikaci klienta je konfigurováno následující nastavení služby komponent:
    • K delegování je nastavena úroveň zosobnění balíčky COM +. Další informace o nastavení úrovně zosobnění na tomto webu společnosti Microsoft:
      http://msdn2.microsoft.com/en-us/library/ms681722.aspx
    • Identitu aplikace COM + balíčky je nastaven účet domény systému Windows, kde je povoleno nastavení účet je důvěryhodný pro delegování. Další informace o nastavení identity aplikace naleznete na následujícím webu:
      http://msdn2.microsoft.com/en-us/library/ms687759.aspx
  • Obsahuje řetězec připojení používá Analysis Services klientský počítač připojit k počítači serveru pro analýzu SSPI = Kerberos parametr.
  • Pokud je spuštěna služba MSSQLServerOLAPService pod domény účtu, připojovací řetězec, který se používá službou Analysis klientský počítač připojit k počítači Analysis server obsahuje SSPI = Kerberos parametr a používá úplný doménový název analytického serveru.
  • Pravděpodobně vytvořit a zaregistrovat SPN pro počítač se spuštěnou službou IIS. Vytvořit SPN pro počítač se spuštěnou službou IIS, spusťte následující příkaz příkazového řádku z instalační složky nástroje Setspn:
    setspn -A http/IIS Computer Name IIS Computer Name
    ručně registrace SPN pro počítač se spuštěnou službou IIS, postupujte podle pokynů "Konfigurovat Analysis Services použít Kerberos ověřovací protokol" části tohoto článku.

Odkazy

Další informace naleznete v následujících článcích znalostní báze Microsoft Knowledge Base:
319723Jak používat ověřování Kerberos v SQL Server
326985Jak řešit potíže s protokolem Kerberos ve službě IIS (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
283201Použití delegování v systému Windows 2000 s modelem COM+ (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
215383Jak nakonfigurovat službu IIS tak, aby podporovala ověřování v síti pomocí protokolu Kerberos i NTLM (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
266080Odpovědi na nejčastější dotazy Kerberos
176377Přístup k serveru SQL Server s integrovaným zabezpečením ze stránky ASP (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
301423Instalace nástrojů podpory systému Windows 2000 do počítače se systémem Windows 2000 Server (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
917409Jak konfigurovat SQL Server 2005 Analysis Services na používání ověřování pomocí protokolu Kerberos

Vlastnosti

ID článku: 828280 - Poslední aktualizace: 29. ledna 2014 - Revize: 5.3
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft SQL Server 2000 Analysis Services
Klíčová slova: 
kbnosurvey kbarchive kbmt kbkerberos kbcomservices kbclientserver kbactivedirectory kbsecurity kbuser kbauthentication kbcommandline kbservice kbserver kbdatabase kbhowtomaster KB828280 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:828280

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com