Cómo configurar una instancia de SQL Server 2000 Analysis Services para utilizar la autenticación Kerberos

Seleccione idioma Seleccione idioma
Id. de artículo: 828280 - Ver los productos a los que se aplica este artículo
Este artículo se ha archivado. Se ofrece "tal cual" y no se volverá a actualizar.
Expandir todo | Contraer todo

En esta página

Resumen

Cuando se realiza una conexión a un equipo que ejecuta Microsoft SQL Server 2000 Analysis Services y que la conexión implica un escenario de autenticación de doble salto, debe utilizar Kerberos como protocolo de autenticación. Por ejemplo, en un escenario de autenticación de doble salto, un equipo cliente puede pasar las credenciales de inicio de sesión a un equipo que ejecuta Servicios de Internet Information Server (IIS). El equipo que ejecuta IIS a continuación, debe pasar las credenciales de inicio de sesión el equipo de Analysis server. En este artículo describe cómo configurar un equipo de servidor de Analysis para utilizar Kerberos el protocolo de autenticación.

Configurar un equipo de servidor de análisis para utilizar el protocolo de autenticación Kerberos

Para configurar un equipo de Analysis server para utilizar Kerberos como protocolo de autenticación, siga estos pasos:
  1. Instalar Analysis Services Service Pack 3 (SP3) o posterior en el equipo de Analysis server y en los equipos cliente que conectan con el equipo de Analysis server.
  2. Registre un nombre principal de servicio (SPN) para el análisis de servicios (MSSQLServerOLAPService) en el equipo de Analysis server.

    Nota Si se está ejecutando el servicio MSSQLServerOLAPService en el contexto de seguridad de la cuenta LocalSystem, se crea automáticamente el SPN. Si el servicio MSSQLServerOLAPService se ejecuta bajo el contexto de seguridad de una cuenta distinta de la cuenta LocalSystem, debe crear manualmente el SPN. Para ello, utilice la utilidad SetSPN.exe en el Kit de recursos de Windows 2000. Para descargar la utilidad SetSPN, visite el siguiente sitio Web de Microsoft:
    http://www.microsoft.com/downloads/details.aspx?familyid=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46
    Después de descargar la utilidad SetSPN, siga estos pasos:
    1. Para crear el SPN del equipo de servidor de análisis que se ejecuta bajo una cuenta de dominio, ejecute el comando siguiente en el símbolo del sistema:
      full_path_of_Setspn.exe -A MSOLAPSvc/serverHostName.Fully_Qualified_domainNameserverHostName OLAP_Service_Startup_Account
    2. Si debe crear el SPN del equipo de servidor de análisis que se ejecute bajo la cuenta LocalSystem, ejecute el comando siguiente en el símbolo del sistema:
      full_path_of_Setspn.exe -A MSOLAPSvc/serverHostName serverHostName
      
    3. Para comprobar si el SPN se ha creado para el análisis de equipo de servidor, ejecute los comandos siguientes en el símbolo del sistema:
      full_path_of_Setspn.exe -L OLAP_Service_Startup_Account
      
      full_path_of_Setspn.exe -L hostName
    4. Si el SPN se creó correctamente para el análisis de equipo de servidor, los resultados del comando ejecutado en el paso 2a o paso 2b normalmente aparecerán en el siguiente formato:
      MSOLAPSvc/serverHostName.domainName MSOLAPSvc/serverHostName
  3. Conceda los siguientes derechos de usuario a la cuenta de usuario de dominio que se utiliza como cuenta de inicio de sesión para el servicio MSSQLServerOLAPService:
    • Iniciar sesión como un servicio
    • Actuar como parte del sistema operativo
    • Reemplazar un testigo de proceso
    • Crear un objeto token
    Nota Puede conceder derechos de usuario para la cuenta de usuario de dominio mediante la utilidad de directiva de seguridad local en Herramientas administrativas de panel de control.
  4. Grant Full Control permisos al grupo OLAP Administrators Windows en las carpetas BIN y datos en la carpeta de instalación Analysis Services. La ruta de acceso de estas carpetas en el equipo de Analysis server puede ser similar al siguiente:
    • Análisis de programa\Microsoft c:\Archivos Services\BIN
    • C:\Archivos programa\Microsoft Analysis Services\data
  5. Agregar la cuenta de usuario de dominio como miembro de OLAP del grupo Administradores Windows.
  6. Si se migró el depósito de Analysis Services a SQL Server, la cuenta de usuario de dominio debe tener permisos de db_owner en la base de datos del depósito.

Configurar Equipos de servidor de análisis y en los Analysis Services equipos cliente

Asegúrese de que las condiciones siguientes se cumplen en el análisis de los equipos servidor y en los equipos cliente de Analysis Services:
  • Los equipos de servidor de análisis ejecutan Microsoft Windows 2000 o posterior.
  • Los equipos de servidor de análisis se encuentran en el mismo Windows dominio o en dominios de Windows que tienen una relación de confianza bidireccional. Los Dominios de Windows están utilizando el Active directorio servicio.
  • El sistema entra en el análisis de equipos servidor están sincronizados. Para sincronizar los relojes del sistema, utilice el comando net time . Para obtener más información acerca del comando net time , visite el siguiente sitio Web de Microsoft:
    http://technet2.microsoft.com/WindowsServer/f/?en/Library/fbf96287-fc67-46bf-8e9e-e79623e85ab51033.mspx
  • La propiedad de Zonas de búsqueda inversa se configura en los equipos de servidor de análisis.

    Nota Analysis Services realiza una búsqueda inversa de dirección IP del equipo cliente para resolver el nombre NetBIOS.

    Para obtener más información acerca de cómo crear zonas de búsqueda inversa, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    308201Cómo crear una nueva zona en un servidor DNS en Windows 2000
  • La configuración de DNS preferido en todos los equipos del dominio de Windows de cliente de Analysis Services señalan al mismo servidor Sistema de nombres de dominio (DNS). Para obtener más información acerca de cómo configurar un servidor DNS preferido, visite el siguiente sitio Web de Microsoft:
    http://technet2.microsoft.com/WindowsServer/f/?en/Library/28cc8d8c-20fb-4cdb-8915-8df5905cbcf51033.mspx

Configurar Active Directory

Asegúrese de que todas las condiciones siguientes son true para la configuración de Active Directory:
  • La configuración de cuenta es importante y no se puede delegar no está habilitada para las cuentas de usuario será delegadas.
  • La cuenta es de confianza para delegación configuración no es habilitado para las cuentas de usuario será delegadas.
  • Si se utiliza una cuenta de dominio para iniciar sesión en el servicio MSSQLServerOLAPService, la configuración de cuenta es de confianza para delegación está habilitada para la cuenta de dominio.
  • La cuenta es de confianza para delegación configuración está habilitada para la cuenta de proceso para cualquier componente.
  • La opción Confiar en el equipo para la delegación está habilitada en el equipo que está ejecutando IIS.

Configurar los equipos cliente de Analysis Services

Asegúrese de que dos condiciones siguientes son true en los equipos cliente de Analysis Services:
  • Microsoft Internet Explorer 5.0 o posterior está instalado.
  • Si Internet Explorer 6.0 está instalado en el equipo, habilite la opción de seguridad Habilitar autenticación integrada de Windows (requiere reinicio) .

    Nota La opción de Habilitar autenticación integrada de Windows (requiere reinicio) está en la seguridad en la ficha Avanzadas del cuadro de diálogo Opciones de Internet . Quizás tenga que reiniciar el equipo para esta configuración surta efecto.

Configurar la configuración en el equipo que ejecuta IIS

Configurar la metabase de IIS se usa Negotiate y NTLM. Para obtener más información acerca de cómo hacerlo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
215383Cómo configurar IIS para que admita el protocolo Kerberos y el protocolo NTLM para la autenticación de red
Si el grupo de aplicaciones de IIS se está ejecutando bajo una cuenta de dominio, siga estos pasos:
  1. Crear un SPN HTTP para esta cuenta. Para ello, ejecute el siguiente comando en un símbolo del sistema:
    Setspn - a HTTP / FQDN MyAppPoolServiceAccount
    Nota En este comando, FQDN es el nombre de dominio completo del equipo que está ejecutando IIS. MyAppPoolServiceAccount es la cuenta que IIS utiliza el grupo de aplicaciones.
  2. Conceder la cuenta de grupo de aplicación el derecho de usuario "Actuar como parte del sistema operativo" y el derecho de usuario de "Suplantar a un cliente tras la autenticación".
Asegúrese de que las siguientes condiciones se cumplen en el equipo que está ejecutando IIS en un escenario de autenticación de doble salto:
  • La configuración siguiente se establece en IIS para el sitio Web o para el directorio virtual que se creó para el cliente de aplicación Web:
    • El método de autenticación para la seguridad del directorio se establece la autenticación integrada de Windows o a la Autenticación básica .
    • El nivel de protección de aplicación está establecido alto (aislado) .
  • Se configuran los siguientes valores de servicios de componentes para el sitio Web o para el directorio virtual que se creó para la aplicación de cliente Web:
    • El nivel de suplantación para los paquetes se establece en delegado . Para obtener más información acerca de cómo establecer un nivel de suplantación, visite el siguiente sitio Web de Microsoft:
      http://msdn2.microsoft.com/en-us/library/ms681722.aspx
    • La identidad de aplicación para los paquetes se establece en una cuenta de dominio de Windows donde la configuración de cuenta es de confianza para delegación está habilitada. Para obtener más información acerca de cómo configurar una identidad de aplicación, visite el siguiente sitio Web de Microsoft:
      http://msdn2.microsoft.com/en-us/library/ms687759.aspx
  • La cadena de conexión que se utiliza el equipo cliente de Analysis Services para conectarse al equipo servidor Analysis contiene el SSPI = Kerberos parámetro.
  • Si el servicio MSSQLServerOLAPService se ejecuta en un dominio de cuenta, la cadena de conexión que se utiliza por Analysis Services contiene equipo de cliente para conectarse al equipo de Analysis server el SSPI = Kerberos parámetro y usa el nombre de dominio completo del servidor de análisis.
  • Quizás tenga que crear y registrar un SPN para el equipo que ejecuta IIS. Para crear un SPN para el equipo que ejecuta IIS, ejecute el comando siguiente en un símbolo del sistema con el desde la carpeta de instalación de la utilidad Setspn:
    setspn -A http/IIS Computer Name IIS Computer Name
    para registrar manualmente un SPN para el equipo que ejecuta IIS, siga los pasos de la "configurar Analysis Services para utilizar Kerberos el protocolo de autenticación" sección de este artículo.

Referencias

Para obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
319723Cómo utilizar la autenticación Kerberos en SQL Server
326985Cómo solucionar problemas relacionados con Kerberos en IIS
283201Cómo utilizar la delegación en Windows 2000 con COM +
215383Cómo configurar IIS para que admita el protocolo Kerberos y el protocolo NTLM para la autenticación de red
266080Respuestas a preguntas frecuentes de Kerberos
176377Acceso a SQL Server con seguridad integrada desde ASP
301423Cómo instalar las herramientas de soporte de Windows 2000 en un equipo basado en Windows 2000 Server
917409Cómo configurar SQL Server 2005 Analysis Services para utilizar la autenticación Kerberos

Propiedades

Id. de artículo: 828280 - Última revisión: sábado, 1 de febrero de 2014 - Versión: 5.3
La información de este artículo se refiere a:
  • Microsoft SQL Server 2000 Analysis Services
Palabras clave: 
kbnosurvey kbarchive kbmt kbkerberos kbcomservices kbclientserver kbactivedirectory kbsecurity kbuser kbauthentication kbcommandline kbservice kbserver kbdatabase kbhowtomaster KB828280 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 828280

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com