Comment faire pour configurer une instance de SQL Server 2000 Analysis Services pour utiliser l'authentification Kerberos

Traductions disponibles Traductions disponibles
Numéro d'article: 828280 - Voir les produits auxquels s'applique cet article
Cet article a été archivé. Il est proposé « en l'état » et ne sera plus mis à jour.
Agrandir tout | Réduire tout

Sommaire

Résumé

Lors d'une connexion à un ordinateur qui exécute SQL Server 2000 Analysis Services et que la connexion implique un scénario à deux bonds authentification, vous devez utiliser Kerberos comme protocole d'authentification. Par exemple, dans un scénario d'authentification deux bonds, un ordinateur client peut passer les informations d'identification d'ouverture de session sur un ordinateur qui exécute Internet Information Services (IIS). L'ordinateur qui exécute IIS doit ensuite transmettre les informations d'identification d'ouverture de session à l'ordinateur serveur d'analyse. Cet article explique comment configurer un ordinateur de serveur d'analyse pour utiliser le Kerberos protocole d'authentification.

Configurer un ordinateur de serveur d'analyse pour utiliser le protocole d'authentification Kerberos

Pour configurer un ordinateur serveur d'analyse à utiliser Kerberos comme protocole d'authentification, procédez comme suit :
  1. Installer Analysis Services Service Pack 3 (SP3) ou version ultérieure sur l'ordinateur de serveur d'analyse et sur les ordinateurs clients qui se connectent à l'ordinateur serveur d'analyse.
  2. Enregistrer un SPN (nom principal de service) pour l'analyse services service (MSSQLServerOLAPService) sur l'ordinateur de serveur d'analyse.

    note Si le service MSSQLServerOLAPService s'exécute sous le contexte de sécurité du compte LocalSystem, le nom principal de service est créée automatiquement. Si le service MSSQLServerOLAPService s'exécute dans le contexte de sécurité d'un compte autre que le compte système local, vous devez créer manuellement le nom principal de service. Pour cela, utilisez l'utilitaire Setspn.exe dans le Kit de ressources Microsoft Windows 2000. Pour télécharger l'utilitaire Setspn, reportez-vous au site de Web Microsoft suivant :
    http://www.microsoft.com/downloads/details.aspx?familyid=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46
    Après avoir téléchargé l'utilitaire Setspn, procédez comme suit :
    1. Pour créer le nom SPN pour l'ordinateur serveur d'analyse s'exécutant sous un compte de domaine, exécutez la commande suivante à partir d'une invite de commandes :
      full_path_of_Setspn.exe -A MSOLAPSvc/serverHostName.Fully_Qualified_domainNameserverHostName OLAP_Service_Startup_Account
    2. Si vous devez créez le SPN de l'ordinateur serveur d'analyse qui s'exécute sous le compte LocalSystem, exécutée la commande suivante à partir d'une invite de commandes :
      full_path_of_Setspn.exe -A MSOLAPSvc/serverHostName serverHostName
      
    3. Pour vérifier si le nom principal de service a été créé pour l'analyse ordinateur serveur, exécutez les commandes suivantes à partir d'une invite de commandes :
      full_path_of_Setspn.exe -L OLAP_Service_Startup_Account
      
      full_path_of_Setspn.exe -L hostName
    4. Si le nom principal de service a été correctement créée pour l'analyse ordinateur serveur, les résultats de la commande exécutée dans l'étape 2 a ou étape 2 b généralement apparaissent dans le format suivant :
      MSOLAPSvc/serverHostName.domainName MSOLAPSvc/serverHostName
  3. Droits l'utilisateur de suivants sur le compte d'utilisateur de domaine qui est utilisé en tant que compte d'ouverture de session pour le service MSSQLServerOLAPService :
    • Ouvrir une session en tant que service
    • Agir en tant que partie du système d'exploitation
    • Remplacer un jeton de niveau processus
    • Créer un objet-jeton
    note Vous pouvez accorder des droits de l'utilisateur pour le compte d'utilisateur de domaine à l'aide l'utilitaire de stratégie de sécurité locale dans Outils d'administration dans le Panneau de configuration.
  4. Grant Full Control autorisations au groupe OLAP Administrators Windows sur les dossiers de casier et des données dans le dossier d'installation Analysis Services. Le chemin d'accès de ces dossiers sur le serveur d'analyse peut être semblable au suivant :
    • C:\Program Files\Microsoft Analysis Services\BIN
    • C:\Program Files\Microsoft Analysis Services\Data
  5. Ajoutez le compte d'utilisateur de domaine en tant que membre D'OLAP groupe Administrateurs de Windows.
  6. Si le référentiel Analysis Services a été migré vers SQL Server, le compte d'utilisateur de domaine devez disposer des autorisations db_owner sur la base de données référentiel.

Configurer les ordinateurs du serveur d'analyse et ordinateurs clients Analysis Services

Assurez-vous que les conditions suivantes sont remplies dans l'analyse des serveurs et sur les ordinateurs client Analysis Services :
  • Les serveurs d'analyse exécutent Microsoft Windows 2000 ou version ultérieure.
  • Les ordinateurs de serveur d'analyse sont dans le Windows même domaine ou dans des domaines Windows qui ont une relation de confiance bidirectionnelle. Les domaines Windows utilisent le service d'annuaire Active Directory.
  • Le système de pointe dans l'analyse des serveurs sont synchronisées. Pour synchroniser l'horloge système, utilisez la commande net time . Pour plus d'informations sur la commande net time , reportez-vous au site de Web Microsoft suivant :
    http://technet2.microsoft.com/WindowsServer/f/?en/Library/fbf96287-fc67-46bf-8e9e-e79623e85ab51033.mspx
  • La propriété de zones de recherche inversée est configurée sur les ordinateurs serveur d'analyse.

    note Analysis Services effectue une recherche inversée d'adresse IP de l'ordinateur client pour résoudre le nom NetBIOS.

    Pour plus d'informations sur la façon de créer inverser les zones de recherche, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    308201 Comment créer une nouvelle zone sur un serveur DNS dans Windows 2000
  • Le paramètre Preferred DNS sur tous les ordinateurs clients Analysis Services dans le domaine Windows pointez sur le même serveur DNS (Domain Name System) (DNS). Pour plus savoir comment configurer un serveur DNS préféré, reportez-vous au adresse site Web de Microsoft à l'adresse suivante :
    http://technet2.microsoft.com/WindowsServer/f/?en/Library/28cc8d8c-20fb-4cdb-8915-8df5905cbcf51033.mspx

Configurer les paramètres Active Directory

Assurez-vous que toutes les conditions suivantes sont remplies pour que les paramètres Active Directory :
  • Le paramètre de compte est à la casse et ne peut pas être déléguée n'est pas activé pour les comptes d'utilisateurs qui va être déléguées.
  • Le compte est approuvé pour la délégation paramètre n'est pas activée pour comptes d'utilisateurs qui va être déléguées.
  • Si un compte de domaine est utilisé pour ouvrir une session sur le service MSSQLServerOLAPService, le paramètre de compte est approuvé pour la délégation est activé pour le compte de domaine.
  • Le compte est approuvé pour la délégation paramètre est activé pour le compte du processus pour un composant COM +.
  • Le paramètre de confiance ordinateur pour la délégation est activé sur l'ordinateur qui exécute les services Internet (IIS).

Configurer les ordinateurs clients Analysis Services

Assurez-vous que les deux conditions suivantes sont remplies sur les ordinateurs clients Analysis Services :
  • Microsoft Internet Explorer 5.0 ou version ultérieure est installé.
  • Si Internet Explorer 6.0 est installé sur l'ordinateur, activez l'option de sécurité Activer l'authentification intégrée de Windows (nécessite un redémarrage) .

    note L'option Activer l'authentification intégrée de Windows (nécessite un redémarrage) est sous sécurité sous l'onglet Avancé de la boîte de dialogue Options Internet . Vous devrez peut-être redémarrer l'ordinateur pour que ce paramètre prenne effet.

Configurer les paramètres sur l'ordinateur qui exécute IIS

Configurer la métabase IIS pour utiliser négocier et NTLM. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
215383 Comment faire pour configurer IIS pour prendre en charge le protocole Kerberos et le protocole NTLM pour l'authentification du réseau
Si le pool d'applications IIS s'exécute sous un compte de domaine, procédez comme suit :
  1. Créer un nom principal de service HTTP pour ce compte. Pour ce faire, exécutez la commande suivante à partir d'une invite de commandes :
    Setspn-a FQDN MyAppPoolServiceAccount
    note Dans cette commande, FQDN est le nom de domaine complet de l'ordinateur qui exécute les services Internet (IIS). MyAppPoolServiceAccount est le compte que les services Internet (IIS) utilise du pool d'applications.
  2. Accordez le compte du pool d'applications le droit d'utilisateur « Agir en tant qu'une partie du système d'exploitation » et le droit d'utilisateur "Emprunter l'identité d'un client après l'authentification".
Assurez-vous que les conditions suivantes sont remplies sur l'ordinateur qui exécute IIS dans un scénario deux bonds authentification :
  • Les paramètres suivants sont configurés dans IIS pour le site Web ou le répertoire virtuel qui a été créé pour le client Web application :
    • La méthode d'authentification pour la sécurité de répertoire est définie pour l'authentification intégrée de Windows ou pour l'authentification de base .
    • Le niveau de protection d'application est défini à élevée (isolée) .
  • Les paramètres de services de composants suivants sont configurés pour le site Web ou le répertoire virtuel qui a été créé pour l'application Web cliente :
    • Le niveau d'emprunt d'identité pour les packages COM + est défini à déléguer . Pour plus d'informations sur un niveau d'emprunt d'identité, reportez-vous au site de Web Microsoft suivant :
      http://msdn2.microsoft.com/en-us/library/ms681722.aspx
    • L'identité d'application pour les packages COM + est définie sur un compte de domaine Windows où le paramètre de compte est approuvé pour la délégation est activé. Pour plus d'informations une identité d'application, reportez-vous au site de Web Microsoft suivant :
      http://msdn2.microsoft.com/en-us/library/ms687759.aspx
  • La chaîne de connexion est utilisée par l'ordinateur client Analysis Services pour se connecter à l'ordinateur serveur d'analyse contient le SSPI = Kerberos paramètre.
  • Si le service MSSQLServerOLAPService s'exécute sous un domaine compte, la chaîne de connexion qui est utilisée par Analysis Services ordinateur client pour se connecter à l'ordinateur serveur d'analyse contient le SSPI = Kerberos paramètre et utilise le nom de domaine pleinement qualifié du serveur d'analyse.
  • Vous devez créer et enregistrer un SPN de l'ordinateur qui exécute les services Internet (IIS). Pour créer un SPN de l'ordinateur qui exécute les services Internet (IIS), exécutez la commande suivante à partir d'une invite de commandes à partir du dossier d'installation de l'utilitaire Setspn :
    setspn -A http/IIS Computer Name IIS Computer Name
    pour enregistrer manuellement un SPN de l'ordinateur qui exécute les services Internet (IIS), suivez les étapes de la " configurer Analysis Services pour utiliser le Kerberos protocole d'authentification « section de cet article.

Références

Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
319723 Comment faire pour utiliser l'authentification Kerberos dans SQL Server
326985 Comment résoudre les problèmes liés à Kerberos dans IIS
283201 Comment faire pour utiliser la délégation dans Windows 2000 avec COM +
215383 Comment faire pour configurer IIS pour prendre en charge le protocole Kerberos et le protocole NTLM pour l'authentification du réseau
266080 Répond à Kerberos Forum aux questions
176377 L'accès à SQL Server avec la sécurité intégrée à partir d'ASP
301423 Comment faire pour installer les outils de support Windows 2000 sur un ordinateur Windows 2000 Server
917409 Comment faire pour configurer SQL Server 2005 Analysis Services pour utiliser l'authentification Kerberos

Propriétés

Numéro d'article: 828280 - Dernière mise à jour: mercredi 5 février 2014 - Version: 5.3
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft SQL Server 2000 Analysis Services
Mots-clés : 
kbnosurvey kbarchive kbmt kbkerberos kbcomservices kbclientserver kbactivedirectory kbsecurity kbuser kbauthentication kbcommandline kbservice kbserver kbdatabase kbhowtomaster KB828280 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 828280
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com