Zum Konfigurieren einer Instanz von SQL Server 2000 Analysis Services für die Kerberos-Authentifizierung

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 828280 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde archiviert. Er wird im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Wenn eine Verbindung zu einem Computer, auf dem Microsoft SQL Server 2000 Analysis Services und erfolgt dass Verbindung einem Szenario mit Double-Hop-Authentifizierung beinhaltet ausgeführt wird, müssen Sie Kerberos als Authentifizierungsprotokoll verwenden. Beispielsweise kann in einem Szenario mit Double-Hop-Authentifizierung ein Clientcomputer die Anmeldeinformationen an einen Computer übergeben, auf dem Internetinformationsdienste (IIS) ausgeführt wird. Dem Computer mit IIS müssen Sie dann die Anmeldeinformationen an Analysis-Servercomputer übergeben. Dieser Artikel beschreibt die Konfiguration eines Analysis-Servercomputer mit der Kerberos-Authentifizierungsprotokoll.

Konfigurieren Sie einen Analysis-Servercomputer Kerberos-Authentifizierungsprotokoll verwenden

Gehen Sie folgendermaßen vor um eine Analysis Server-Computer, Kerberos als Authentifizierungsprotokoll verwenden zu konfigurieren:
  1. Installieren Sie Analysis Services Service Pack 3 (SP3) oder höher, auf dem Analysis-Server und auf den Clientcomputern, die mit dem Analysis-Servercomputer verbunden.
  2. Registrieren Sie einen Service Principal Name (SPN) für die Analysis Services-Serverdienst (MSSQLServerOLAPService) auf dem Analysis-Server.

    Hinweis: Wenn der MSSQLServerOLAPService-Dienst im Sicherheitskontext des Kontos LocalSystem ausgeführt wird, wird der SPN automatisch erstellt. Wenn der MSSQLServerOLAPService-Dienst unter dem Sicherheitskontext ein anderes Konto als das Konto "LocalSystem" ausgeführt wird, müssen Sie den SPN manuell erstellen. Verwenden Sie hierzu das Setspn.exe-Dienstprogramm im Microsoft Windows 2000 Resource Kit. Um das Dienstprogramm "Setspn" downloaden, die folgende Microsoft-Website:
    http://www.microsoft.com/downloads/details.aspx?familyid=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46
    Nachdem Sie das Dienstprogramm "Setspn" downloaden, gehen Sie folgendermaßen vor:
    1. Führen Sie, um den SPN für den Analysis-Servercomputer zu erstellen, die unter einem Domänenkonto ausgeführt wird, den folgenden Befehl an einer Eingabeaufforderung:
      full_path_of_Setspn.exe -A MSOLAPSvc/serverHostName.Fully_Qualified_domainNameserverHostName OLAP_Service_Startup_Account
    2. Wenn Sie den SPN für den Analysis-Servercomputer erstellen müssen, die unter dem Konto "LocalSystem" ausgeführt wird, führen Sie den folgenden Befehl an einer Eingabeaufforderung:
      full_path_of_Setspn.exe -A MSOLAPSvc/serverHostName serverHostName
      
    3. Um zu überprüfen, ob der SPN für die Analyse erstellt wurde-Servercomputer, führen Sie an einer Eingabeaufforderung die folgenden Befehle:
      full_path_of_Setspn.exe -L OLAP_Service_Startup_Account
      
      full_path_of_Setspn.exe -L hostName
    4. Wenn der SPN für die Analyse erfolgreich erstellt wurde-Servercomputer der, die Ergebnisse des Befehls in Schritt 2a oder Schritt 2 b ausgeführt werden normalerweise im folgenden Format angezeigt:
      MSOLAPSvc/serverHostName.domainName MSOLAPSvc/serverHostName
  3. Erteilen Sie die folgenden Benutzer Berechtigungen das Domänenbenutzerkonto, das als das Anmeldekonto für MSSQLServerOLAPService-Dienst verwendet wird:
    • Als Dienst anmelden
    • Einsetzen als Teil des Betriebssystems
    • Ersetzen eines Tokens auf Prozessebene
    • Erstellen Sie einesTokenobjekts
    Hinweis: Sie können die Benutzerrechte das Domänenbenutzerkonto erteilen, indem Dienstprogramm Lokale Sicherheitsrichtlinie unter Verwaltung in der Systemsteuerung.
  4. Grant Full Control Berechtigungen OLAP Administrators Windows Gruppe auf die Ordner BIN und Daten in den Installationsordner Analysis Services. Der Pfad dieser Ordner auf dem Analysis-Servercomputer möglicherweise dem folgenden ähnelt:
    • Ordner c:\Programme\Microsoft Analysis Services\BIN
    • Ordner c:\Programme\Microsoft Analysis Services\Data
  5. Fügen Sie das Domänen-Benutzerkonto als Mitglied der OLAP-Administratoren Windows-Gruppe.
  6. Wenn zu SQL Server Analysis Services-Repository migriert wurde, muss das Domänenbenutzerkonto Db_owner Berechtigungen in der Repositorydatenbank verfügen.

Konfigurieren von Analysis-Servercomputer und Analysis Services-Clientcomputer

Stellen Sie sicher, dass die folgenden Bedingungen erfüllt auf der Analyse sind Server-Computer und auf Clientcomputern Analysis Services:
  • Die Analysis Server-Computern wird Microsoft Windows 2000 oder höher ausgeführt.
  • Die Analysis Servercomputer befinden, in der gleichen Windows-Domäne oder in Windows-Domänen, die eine bidirektionale Vertrauenswürdige Beziehung haben. Die Windows-Domänen den Active Directory-Verzeichnisdienst verwenden.
  • Das System Uhren auf den Analysis Server-Computer synchronisiert werden. Verwenden Sie den net Time -Befehl, um die Systemuhren zu synchronisieren. Weitere Informationen über den Befehl net Time die folgende Microsoft-Website:
    http://technet2.microsoft.com/WindowsServer/f/?en/Library/fbf96287-fc67-46bf-8e9e-e79623e85ab51033.mspx
  • Die Reverse-Lookupzonen -Eigenschaft wird auf den Analysis Server-Computern konfiguriert.

    Hinweis: Analysis Services führt ein reverse-Lookup des Clientcomputers IP-Adresse des NetBIOS-Namen auflösen.

    Weitere Informationen zum Erstellen reverse-Lookupzonen, finden Sie die folgende KB-Artikelnummer:
    308201Wie Sie eine neue Zone auf einen Windows 2000-DNS-Server erstellen
  • Die Bevorzugte DNS- Einstellung auf alle Analysis Services-Clientcomputern in der Windows-Domäne zeigen Sie auf dem gleichen Server Domain Name System (DNS). Weitere Informationen zum Konfigurieren eines bevorzugten DNS-Servers die folgenden Microsoft-Website:
    http://technet2.microsoft.com/WindowsServer/f/?en/Library/28cc8d8c-20fb-4cdb-8915-8df5905cbcf51033.mspx

Konfigurieren von Active Directory-Einstellungen

Stellen Sie sicher, dass alle folgenden Bedingungen erfüllt, für die Active Directory-Einstellungen sind:
  • Die Einstellung Konto ist vertraulich und kann nicht delegiert werden ist nicht für Benutzerkonten aktiviert, die delegiert werden.
  • Das Konto wird für Delegierungszwecke vertraut festlegen ist nicht für Benutzerkonten aktiviert, die delegiert werden.
  • Wenn ein Domänenkonto verwendet wird, an den MSSQLServerOLAPService-Dienst anmelden, wird die Einstellung Konto wird für Delegierungszwecke vertraut für das Domänenkonto aktiviert.
  • Das Konto wird für Delegierungszwecke vertraut festlegen ist für das Prozesskonto für COM+-Komponente aktiviert.
  • Die Computer für Delegierungszwecke vertrauen Einstellung ist auf dem Computer aktiviert, auf dem IIS ausgeführt wird.

Konfigurieren von Analysis Services-Clientcomputern

Stellen Sie sicher, dass beide der folgenden Bedingungen auf den Analysis Services-Clientcomputern erfüllt sind:
  • Microsoft Internet Explorer 5.0 oder höher installiert ist.
  • Wenn Internet Explorer 6.0 auf dem Computer installiert ist, aktivieren Sie die Sicherheitsoption Integrierte Windows-Authentifizierung aktivieren (Neustart erforderlich) .

    Hinweis: Die Option Integrierte Windows-Authentifizierung aktivieren (Neustart erforderlich) ist unter Sicherheit auf der Registerkarte Erweitert des Dialogfelds Optionen . Möglicherweise müssen zum Neustarten des Computers für diese Einstellung wirksam werden.

Konfigurieren Sie die Einstellungen auf dem Computer, auf dem IIS ausgeführt wird

Konfigurieren der IIS-Metabasis Negotiate und NTLM verwenden. Weitere Informationen dazu finden Sie im folgenden Artikel der Microsoft Knowledge Base:
215383Zum Konfigurieren von IIS, um sowohl das Kerberos-Protokoll als auch die NTLM-Protokoll für Netzwerkauthentifizierung zu unterstützen
Wenn der IIS-Anwendungspool unter einem Domänenkonto ausgeführt wird, gehen Sie folgendermaßen vor:
  1. Erstellen Sie einen HTTP-SPN für dieses Konto. Führen Sie hierzu den folgenden Befehl an einer Eingabeaufforderung ein:
    Setspn - ein HTTP / FQDN MyAppPoolServiceAccount
    Hinweis: In diesem Befehl steht FQDN den vollständig qualifizierten Domänennamen des Computers, auf dem IIS ausgeführt wird. MyAppPoolServiceAccount ist das Konto, das der IIS-Anwendungspool verwendet.
  2. Erteilen Sie dem Anwendungspoolkonto das Benutzerrecht "Einsetzen als Teil des Betriebssystems" und das Benutzerrecht "Annehmen der Clientidentität nach Authentifizierung".
Stellen Sie sicher, dass die folgenden Bedingungen erfüllt, auf dem Computer sind, auf dem IIS in einem Szenario mit Double-Hop-Authentifizierung ausgeführt wird:
  • Die folgenden Einstellungen in IIS konfiguriert sind, für die Website oder für das virtuelle Verzeichnis, das für den Client erstellt wurde Webanwendung:
    • Die Authentifizierungsmethode für die Verzeichnissicherheit ist integrierte Windows-Authentifizierung oder Basisauthentifizierung festlegen.
    • Die Anwendungsschutzebene auf festgelegt ist Hoch (isoliert) .
  • Für die Website oder für das virtuelle Verzeichnis, das für die Client-Webanwendung erstellt wurde, werden die folgenden Component Services-Einstellungen konfiguriert:
    • Die Identitätswechselebene für COM+-Pakete wird auf Delegaten festgelegt. Weitere Informationen zum Festlegen einer Ebene für Identitätswechsel der folgenden Microsoft-Website:
      http://msdn2.microsoft.com/en-us/library/ms681722.aspx
    • Die Anwendungsidentität für die COM+-Pakete ist ein Windows-Domänenkonto festgelegt, wo die Einstellung Konto wird für Delegierungszwecke vertraut ist aktiviert. Weitere Informationen zum Festlegen einer Anwendungsidentität der folgenden Microsoft-Website:
      http://msdn2.microsoft.com/en-us/library/ms687759.aspx
  • Die Verbindungszeichenfolge, die von der Analysis Services-Clientcomputer verwendet wird, Verbindung zu den Analysis Server-Computer enthält die SSPI Kerberos = Parameter.
  • Falls der MSSQLServerOLAPService-Dienst unter einer Domäne ausgeführt wird berücksichtigt, die Verbindungszeichenfolge, die verwendet wird von Analysis Services Clientcomputer die Verbindung zum Analysis-Servercomputer enthält die SSPI Kerberos = Parameter und verwendet den vollständig qualifizierten Domänennamen des Analysis-Servers.
  • Möglicherweise müssen zum Erstellen und registrieren einen SPN für den Computer, auf dem IIS ausgeführt wird. Um einen SPN für den Computer erstellen, die IIS ausgeführt wird, führen Sie den folgenden Befehl an einer Eingabeaufforderung aus dem Installationsordner des Dienstprogramms SETSPN:
    setspn -A http/IIS Computer Name IIS Computer Name
    um manuell einen SPN für den Computer zu registrieren, auf dem IIS ausgeführt wird, die Schritte in der "Konfigurieren Analysis Services verwenden die Kerberos Authentication-Protokoll" Abschnitt dieses Artikels.

Informationsquellen

Weitere Informationen finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
319723Verwendung von Kerberos-Authentifizierung in SQL Server
326985Behandlung von Kerberos bezogenen Problemen in IIS
283201Verwendung der Delegierung in Windows 2000 mit COM+
215383Zum Konfigurieren von IIS, um sowohl das Kerberos-Protokoll als auch die NTLM-Protokoll für Netzwerkauthentifizierung zu unterstützen
266080Antworten auf häufig gestellte Fragen für Kerberos
176377Zugreifen auf SQL Server mit integrierter Sicherheit von ASP
301423Installation der Windows 2000-Supporttools auf einem bestehenden Computer unter Windows 2000 Server
917409Zum Konfigurieren von SQL Server 2005 Analysis Services für die Kerberos-Authentifizierung

Eigenschaften

Artikel-ID: 828280 - Geändert am: Donnerstag, 23. Januar 2014 - Version: 5.3
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft SQL Server 2000 Analysis Services
Keywords: 
kbnosurvey kbarchive kbmt kbkerberos kbcomservices kbclientserver kbactivedirectory kbsecurity kbuser kbauthentication kbcommandline kbservice kbserver kbdatabase kbhowtomaster KB828280 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 828280
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com