Come configurare un'istanza di SQL Server 2000 Analysis Services per l'utilizzo dell'autenticazione Kerberos

Traduzione articoli Traduzione articoli
Identificativo articolo: 828280 - Visualizza i prodotti a cui si riferisce l?articolo.
Questo articolo Ŕ stato archiviato. L?articolo, quindi, viene offerto ?cosý come Ŕ? e non verrÓ pi¨ aggiornato.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Quando viene effettuata una connessione a un computer che esegue Microsoft SQL Server 2000 Analysis Services e che la connessione implica uno scenario di doppio hop autenticazione, Ŕ necessario utilizzare Kerberos come protocollo di autenticazione. Ad esempio, in uno scenario l'autenticazione del doppio hop, un computer client pu˛ passare le credenziali di accesso a un computer che esegue Microsoft Internet Information Services (IIS). Il computer che esegue IIS deve passare le credenziali di accesso il computer Analysis server. Questo articolo viene descritto come configurare un computer del server di analisi per l'utilizzo di Kerberos protocollo di autenticazione.

Configurare un computer del server di analisi per utilizzare il protocollo di autenticazione Kerberos

Per configurare un computer Analysis server per utilizzare Kerberos come protocollo di autenticazione, attenersi alla seguente procedura:
  1. Installare Analysis Services Service Pack 3 (SP3) o versione successiva nel computer Analysis server e nei computer client che si connettono al computer Analysis server.
  2. Registrare un nome dell'entitÓ servizio (SPN) per l'analisi Services servizio (MSSQLServerOLAPService) nel computer Analysis server.

    Nota Se il servizio MSSQLServerOLAPService Ŕ in esecuzione nel contesto di protezione dell'account LocalSystem, SPN viene creato automaticamente. Se il servizio MSSQLServerOLAPService Ŕ in esecuzione nel contesto di protezione di un account diverso dall'account LocalSystem, Ŕ necessario creare manualmente il SPN. A tale scopo, Ŕ necessario utilizzare l'utilitÓ Setspn.exe in Microsoft Windows 2000 Resource Kit. Per scaricare l'utilitÓ Setspn, il seguente sito Microsoft Web:
    http://www.microsoft.com/downloads/details.aspx?familyid=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46
    Dopo avere scaricato l'utilitÓ Setspn, attenersi alla seguente procedura:
    1. Per creare il SPN per il computer Analysis server che esegue un account di dominio, eseguire il seguente comando al prompt dei comandi:
      full_path_of_Setspn.exe -A MSOLAPSvc/serverHostName.Fully_Qualified_domainNameserverHostName OLAP_Service_Startup_Account
    2. Se Ŕ necessario creare il SPN per il computer Analysis server in esecuzione con l'account LocalSystem, eseguire il seguente comando al prompt dei comandi:
      full_path_of_Setspn.exe -A MSOLAPSvc/serverHostName serverHostName
      
    3. Per verificare se il SPN Ŕ stato creato per l'analisi del computer server, eseguire i seguenti comandi al prompt dei comandi:
      full_path_of_Setspn.exe -L OLAP_Service_Startup_Account
      
      full_path_of_Setspn.exe -L hostName
    4. Se il SPN Ŕ stato creato per l'analisi del computer server, i risultati del comando eseguito nel passaggio 2a o passaggio 2b verranno visualizzati in genere nel seguente formato:
      MSOLAPSvc/serverHostName.domainName MSOLAPSvc/serverHostName
  3. Concedere i seguenti diritti di utente all'account utente di dominio utilizzato come account di accesso per il servizio MSSQLServerOLAPService:
    • Accedere come un servizio
    • Agire come parte del sistema operativo
    • Sostituzione di token a livello di processo
    • Creazione di oggetti token
    Nota ╚ possibile concedere all'utente i diritti per l'account utente di dominio con l'utilitÓ di criteri di protezione locali in strumenti di amministrazione nel Pannello di controllo.
  4. Grant Full Control autorizzazioni al gruppo OLAP Administrators Windows la cartelle BIN e dati nella cartella di installazione Analysis Services. Il percorso di queste cartelle nel computer Analysis server potrebbe essere analogo al seguente:
    • C:\Program Files\Microsoft analisi Services\BIN
    • C:\Program Files\Microsoft Analysis Services\Data
  5. Aggiungere l'account utente di dominio come membro di OLAP il gruppo di Windows Administrators.
  6. Se Ŕ stata effettuata la migrazione del repository di Analysis Services a SQL Server, l'account utente di dominio necessario autorizzazioni db_owner nel database repository.

Configurare i computer di Analysis server Analysis Services computer client e

Assicurarsi che le seguenti condizioni siano rispettate sull'analisi a computer server e su computer client Analysis Services:
  • Computer Analysis server eseguono Microsoft Windows 2000 o versione successiva.
  • I computer del server di analisi sono di Windows stesso dominio o in domini di Windows che dispongono di una relazione di trust bidirezionale. I Domini di Windows utilizza il Active Directory directory servizio.
  • Il sistema entra sull'analisi a computer server non sono sincronizzati. Per sincronizzare gli orologi di sistema, utilizzare il comando net time . Per ulteriori informazioni sul comando net time , visitare il sito di Web di Microsoft:
    http://technet2.microsoft.com/WindowsServer/f/?en/Library/fbf96287-fc67-46bf-8e9e-e79623e85ab51033.mspx
  • La proprietÓ di Zone di ricerca inversa Ŕ configurata nel computer Analysis server.

    Nota Analysis Services esegue una ricerca inversa del risolvere il nome NetBIOS dell'indirizzo IP del computer client.

    Per ulteriori informazioni sulla creazione di zone di ricerca inversa, fare clic sul seguente numero per visualizzare l'articolo della Microsoft Knowledge Base riportato di seguito:
    308201Come creare una nuova zona su un server DNS in Windows 2000
  • L'impostazione del DNS preferito in tutti i computer client Analysis Services nel dominio di Windows fare riferimento al stesso server di Domain Name System (DNS). Per ulteriori informazioni su come configurare un server DNS preferito, visitare il sito di Web di Microsoft:
    http://technet2.microsoft.com/WindowsServer/f/?en/Library/28cc8d8c-20fb-4cdb-8915-8df5905cbcf51033.mspx

Configurare le impostazioni di Active Directory

Assicurarsi che tutte le seguenti condizioni siano true per le impostazioni di Active Directory:
  • L'impostazione di account Ŕ sensibile e non pu˛ essere delegato non Ŕ attivata per gli account utente che verranno delegati.
  • L' account Ŕ trusted per delega impostazione non Ŕ abilitata per gli account utente che verranno delegati.
  • Se un account di dominio viene utilizzato per accedere al servizio MSSQLServerOLAPService, l'impostazione di account Ŕ trusted per delega Ŕ attivata per l'account di dominio.
  • L' account Ŕ trusted per delega l'impostazione Ŕ abilitata per l'account del processo per qualsiasi componente.
  • L'impostazione Considera attendibile il computer per la delega Ŕ attivata nel computer in cui Ŕ in esecuzione IIS.

Configurare computer client di Analysis Services

Assicurarsi che entrambe le seguenti condizioni siano true nei computer client Analysis Services:
  • ╚ installato Microsoft Internet Explorer 5.0 o versione successiva.
  • Se nel computer Ŕ installato Internet Explorer 6.0, attivare l'opzione di protezione di Abilita autenticazione Windows integrata (sarÓ necessario riavvio) .

    Nota L'opzione di Attiva autenticazione Windows integrata (sarÓ necessario riavviare) Ŕ in protezione nella scheda Avanzate della finestra di dialogo Opzioni Internet . SarÓ necessario riavviare il computer per rendere effettiva questa impostazione.

Configurare le impostazioni sul computer che esegue IIS

Configurare la metabase di IIS per l'utilizzo negoziazione e NTLM. Per ulteriori informazioni su come effettuare questa operazione, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
215383Come configurare IIS per supportare il protocollo Kerberos e il protocollo NTLM per l'autenticazione di rete
Se il pool di applicazioni IIS Ŕ in esecuzione con un account di dominio, attenersi alla seguente procedura:
  1. Creare un SPN HTTP per questo account. Per effettuare questa operazione, il seguente comando al prompt dei comandi:
    Setspn - a HTTP / FQDN MyAppPoolServiceAccount
    Nota In questo comando, FQDN Ŕ il nome di dominio completo del computer che esegue IIS. MyAppPoolServiceAccount Ŕ l'account che IIS utilizza pool di applicazioni.
  2. Assegnare l'account del pool di applicazioni il diritto utente "Agisci come una parte del sistema operativo" e il diritto "Rappresenta un client dopo l'autenticazione".
Assicurarsi che le seguenti condizioni siano true nel computer in cui Ŕ in esecuzione IIS in uno scenario di doppio hop autenticazione:
  • In IIS vengono configurate le seguenti impostazioni per il sito Web o per la directory virtuale creato per il client di applicazioni Web:
    • Metodo di autenticazione per la protezione della directory viene impostato su Autenticazione integrata di Windows oppure per L'autenticazione di base .
    • Il livello di protezione dell'applicazione Ŕ impostato su alta (isolata) .
  • Vengono configurate le seguenti impostazioni di Servizi componenti per il sito Web o per la directory virtuale creata per l'applicazione Web di client:
    • Il livello di rappresentazione per i pacchetti Ŕ impostato da delegare . Per ulteriori informazioni sull'impostazione di un livello di rappresentazione, il seguente sito Microsoft Web:
      http://msdn2.microsoft.com/en-us/library/ms681722.aspx
    • L'identitÓ di applicazione per i pacchetti Ŕ impostata su un account di dominio Windows in cui Ŕ abilitata l'impostazione di account Ŕ trusted per delega . Per ulteriori informazioni sull'impostazione di un'identitÓ di applicazione, visitare il sito di Web di Microsoft:
      http://msdn2.microsoft.com/en-us/library/ms687759.aspx
  • La stringa di connessione utilizzato dal computer client Analysis Services per connettersi al computer Analysis server contiene il SSPI = Kerberos parametro.
  • Se il servizio MSSQLServerOLAPService eseguito con un dominio di account, la stringa di connessione viene utilizzata per i servizi di analisi Ŕ contiene computer di client di connettersi a computer Analysis server il SSPI = Kerberos parametro e utilizza il nome completo di dominio di Analysis Server.
  • Potrebbe essere necessario creare e registrare un SPN per il computer che esegue IIS. Per creare un SPN per il computer che esegue IIS, eseguire il comando seguente al prompt dei comandi dalla cartella di installazione dell'utilitÓ Setspn:
    setspn -A http/IIS Computer Name IIS Computer Name
    per registrare manualmente un SPN per il computer che esegue IIS, attenersi alla procedura descritta nel "configurare Analysis Services per utilizzare Kerberos il protocollo di autenticazione" sezione di questo articolo.

Riferimenti

Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
319723Come utilizzare l'autenticazione Kerberos in SQL Server
326985Risoluzione dei problemi relativi a Kerberos in IIS
283201L'utilizzo di delega in Windows 2000 con COM +
215383Come configurare IIS per supportare il protocollo Kerberos e il protocollo NTLM per l'autenticazione di rete
266080Risposte alle domande pi¨ frequenti di Kerberos
176377Accesso a SQL Server con la protezione integrata da ASP
301423HOW TO: Installare gli strumenti di supporto di Windows 2000 in un computer basato su Windows 2000 Server
917409Come configurare SQL Server 2005 Analysis Services per l'utilizzo dell'autenticazione Kerberos

ProprietÓ

Identificativo articolo: 828280 - Ultima modifica: domenica 2 febbraio 2014 - Revisione: 5.3
Le informazioni in questo articolo si applicano a:
  • Microsoft SQL Server 2000 Analysis Services
Chiavi:á
kbnosurvey kbarchive kbmt kbkerberos kbcomservices kbclientserver kbactivedirectory kbsecurity kbuser kbauthentication kbcommandline kbservice kbserver kbdatabase kbhowtomaster KB828280 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 828280
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com