SQL Server 2000年の分析サービスの Kerberos 認証を使用するインスタンスを構成する方法

文書翻訳 文書翻訳
文書番号: 828280
すべて展開する | すべて折りたたむ

目次

概要

実行しているコンピューターに接続が行われる場合Microsoft SQL Server 2000 Analysis Services および接続が含まれている、ダブル ホップ認証シナリオでは、認証に Kerberos を使用する必要があります。プロトコルです。たとえば、ダブルホップ認証シナリオでは、クライアントコンピューター実行しているコンピューターにログオン資格情報を渡す可能性があります。インターネット インフォメーション サービス (IIS)。IIS を実行しているコンピューターは、必要があります。分析サーバー コンピューターにログオン資格情報を渡します。この資料でKerberos を使用すると、分析サーバー コンピューターを構成する方法を説明します。認証プロトコル。

Kerberos 認証プロトコルを使用すると、分析サーバー コンピューターを構成します。

として Kerberos を使用すると、分析サーバー コンピューターを構成するのには認証プロトコル、次の手順を実行します。
  1. 分析サービス Service Pack 3 (SP3) をインストールしますまたは、後で。分析サーバー コンピューターとクライアント コンピューターに接続する、分析サーバーのコンピューター。
  2. 分析は、サービス プリンシパル名 (SPN) を登録します。分析サーバー コンピューター上のサービス (MSSQLServerOLAPService) をサービスします。

    メモ MSSQLServerOLAPService サービスが実行されている場合、LocalSystem アカウントのセキュリティ コンテキストは、SPN が自動的に作成されます。MSSQLServerOLAPService サービスのセキュリティ コンテキストで実行されている場合LocalSystem アカウント以外のアカウントを手動で作成する必要があります、SPN。これを行うには、Setspn.exe ユーティリティは、Microsoft Windows 2000 で使用します。リソース キットです。Setspn ユーティリティをダウンロードするには、次のマイクロソフト Web を参照してください。サイト:
    http://www.microsoft.com/downloads/details.aspx?familyid=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46
    Setspn ユーティリティをダウンロードした後、次の手順を実行します。
    1. 分析サーバー コンピューターの SPN を作成します。コマンドで次のコマンドを実行、ドメイン アカウントで実行されています。プロンプトします。
      full_path_of_Setspn.exe -A MSOLAPSvc/serverHostName.Fully_Qualified_domainNameserverHostName OLAP_Service_Startup_Account
    2. 場合は、分析サーバーの SPN を作成する必要があります。次を実行して、LocalSystem アカウントで実行されているコンピューターコマンド プロンプトで。
      full_path_of_Setspn.exe -A MSOLAPSvc/serverHostName serverHostName
      
    3. 分析の SPN が作成されたかどうかを確認するのにはサーバー コンピューターでコマンド プロンプトで次のコマンドを実行します。
      full_path_of_Setspn.exe -L OLAP_Service_Startup_Account
      
      full_path_of_Setspn.exe -L hostName
    4. 場合は、分析の SPN が正常に作成されましたサーバー コンピューターで、手順 2a またはステップ 2b で実行されるコマンドの結果になります通常は、次の形式でが表示されます。
      MSOLAPSvc/serverHostName.domainName MSOLAPSvc/serverHostName
  3. ドメイン ユーザー アカウントに次のユーザー権利を付与します。MSSQLServerOLAPService サービスは、ログオン アカウントとして使用します。
    • サービスとしてログオンします。
    • オペレーティング システムの一部として機能します。
    • プロセス レベル トークンを置き換え
    • トークン オブジェクトを作成します。
    メモ 使用して、ユーザーのドメイン ユーザー アカウントに権限を与えることができます。コントロール内での管理ツールでローカル セキュリティ ポリシー ユーティリティパネルです。
  4. OLAP 管理者にフル コントロールのアクセス許可を与えるWindows グループに、箱とデータ フォルダーで、Analysis Services のインストールフォルダーです。分析サーバー コンピューター上のこれらのフォルダーのパスがあります。次のよう。
    • C:\Program ただし分析Services\BIN
    • C:\Program ただし分析Services\Data
  5. OLAP のメンバーとして、ドメイン ユーザー アカウントを追加します。管理者の Windows グループです。
  6. SQL に、Analysis Services リポジトリを移行した場合は、サーバーは、ドメイン ユーザー アカウントが必要 db_owner のアクセス許可リポジトリのデータベースです。

構成分析サーバー コンピューターとクライアント コンピューターの Analysis Services

次の条件が分析に満たされているかどうかを確認します。サーバー コンピューターとクライアント コンピューターの Analysis Services:
  • Microsoft Windows を実行している分析サーバー コンピューター2000 以降。
  • 同じウィンドウで、分析サーバー コンピューターをします。ドメインまたは双方向の信頼関係がある Windows ドメインにします。は、Windows ドメイン、Active Directory ディレクトリ サービスを使用しています。
  • 分析サーバー コンピューターでシステムの時計します。同期します。システム クロックを同期させるを使用して、 net time コマンドです。詳細については、 net time コマンドには、次のマイクロソフト Web サイトを参照してください。
    http://technet2.microsoft.com/WindowsServer/f/?en/Library/fbf96287-fc67-46bf-8e9e-e79623e85ab51033.mspx
  • は、 [逆引き参照ゾーン プロパティは、分析サーバー上で構成されています。コンピューター。

    メモ 分析サービス クライアントの逆引き参照を実行します。コンピューターの IP アドレス、NetBIOS 名を解決するのには。

    作成する方法の詳細について逆引き参照ゾーンに、記事を表示するのには、次の資料番号をクリックします。技術情報:
    308201Windows 2000 DNS サーバー上に新しいゾーンを作成する方法
  • は、 優先 DNS すべての設定は、分析サービス クライアント コンピューターが Windows ドメインで、同じポイントします。ドメイン ネーム システム (DNS) サーバーです。構成する方法の詳細については、優先 DNS サーバーは、次のマイクロソフト Web サイトを参照してください。
    http://technet2.microsoft.com/WindowsServer/f/?en/Library/28cc8d8c-20fb-4cdb-8915-8df5905cbcf51033.mspx

Active Directory の設定を構成します。

次の条件をすべてについてあることを確認、Active Directory の設定:
  • は、 アカウントは重要なのですることはできません。委任 設定するユーザー アカウントを有効になっていません委任します。
  • は、 アカウントは委任に対して信頼されています。委任されるユーザー アカウントの設定は利用できません。
  • ログオンするドメイン アカウントを使用するかどうかは、MSSQLServerOLAPService サービスは、 アカウントは信頼されています。委任 ドメイン アカウントの設定を有効にします。
  • は、 アカウントは委任に対して信頼されています。プロセス アカウントを COM + コンポーネントの設定を有効にします。
  • は、 委任に対してコンピューターを信頼します。 設定IIS を実行しているコンピューターで有効になります。

Analysis Services のクライアント コンピューターを構成します。

次の条件の両方に当てはまることを確認してください、分析サービス クライアント コンピューター。
  • Microsoft Internet Explorer 5.0 またはそれ以降です。インストールされています。
  • Internet Explorer 6.0 がインストールされている場合は、有効にする、 (する必要があります、統合 Windows 認証を有効にします。業務再開) セキュリティ ・ オプションです。

    メモ は、 (する必要があります、統合 Windows 認証を有効にします。業務再開) オプションの下でください。 セキュリティ で、高度な タブの インターネット オプション ダイアログボックス。この設定を有効にするのには、コンピューターを再起動する必要があります。

IIS を実行しているコンピューターで、設定を構成します。

IIS メタベースを構成します。Negotiate と NTLM の両方を使用します。 これを行う方法の詳細についてをクリックして、次の Knowledge Base の資料を参照するには。
215383ネットワーク認証に Kerberos プロトコルと NTLM プロトコルの両方をサポートするように IIS を構成する方法
IIS アプリケーション プールが実行されている場合は、ドメイン アカウント、次の手順を実行します。
  1. このアカウントを使用して HTTP SPN を作成します。これを行うには、実行、コマンド プロンプトで次のコマンド:
    Setspn-a HTTP/FQDN MyAppPoolServiceAccount
    メモ このコマンドで、 FQDN 完全IIS を実行しているコンピューターの修飾のドメイン名。 MyAppPoolServiceAccount アカウントは、IISアプリケーション プールを使用します。
  2. "操作の一環として、アプリケーション プールのアカウントを与えるオペレーティング システム"のユーザー権利と、"にクライアントを偽装した後認証"のユーザー権利。
確認、次のよう条件が true、ダブル ホップで IIS を実行しているコンピューター上でください。認証のシナリオ:
  • 次の設定では、IIS Web 用に構成されています。サイトや仮想ディレクトリが、クライアントの Web が作成されました。アプリケーションがあります。
    • ディレクトリ セキュリティの認証方法です。設定するのには 統合 Windows 認証 または 基本的です認証.
    • アプリケーションの保護レベルを設定するには 高(分離プロセス).
  • 以下のコンポーネント サービス設定が構成されています。Web サイトまたは仮想ディレクトリをクライアントが作成されました。Web アプリケーション:
    • COM + パッケージの偽装レベルを設定するには 代理人.偽装の設定に関する詳細についてレベルは、次のマイクロソフト Web サイトを参照してください。
      http://msdn2.microsoft.com/en-us/library/ms681722.aspx
    • COM + パッケージのアプリケーション id の設定します。Windows ドメイン アカウントには、 アカウントは信頼されています。委任 設定を有効にします。設定の詳細については、アプリケーション id は、次のマイクロソフト Web サイトを参照してください。
      http://msdn2.microsoft.com/en-us/library/ms687759.aspx
  • 分析で使用される接続文字列分析サーバー コンピューターに接続するのには、サービス クライアント コンピューターが含まれています。は、 SSPI Kerberos = パラメーターです。
  • MSSQLServerOLAPService サービスが実行されている場合は、ドメイン アカウントの場合、Analysis Services によって使用される接続文字列分析サーバー コンピューターに接続するクライアント コンピューターが含まれています、 SSPI Kerberos = パラメーターの完全修飾ドメイン名を使用して、分析サーバーです。
  • 作成し、コンピューターの SPN を登録する必要があります。IIS が実行されています。IIS を実行しているコンピューターの SPN を作成するには、実行します。次のコマンドをコマンド プロンプトのインストール フォルダーからはSetspn ユーティリティ。
    setspn -A http/IIS Computer Name IIS Computer Name
    IIS を実行しているコンピューターの SPN を手動で登録するには、実行します。"Kerberos を使用するのには、構成する Analysis Services での手順認証プロトコルの"この資料の「。

関連情報

詳細については詳細は、内のアーティクルを表示するのには、次の資料番号をクリックして、技術情報:
319723SQL Server で Kerberos 認証を使用する方法
326985 IIS で Kerberos 関連の問題のトラブルシューティング方法
283201 Windows 2000 で COM + で委任を使用する方法
215383 ネットワーク認証に Kerberos プロトコルと NTLM プロトコルの両方をサポートするように IIS を構成する方法
266080 Kerberos のよく寄せられる質問への回答
176377 SQL Server 統合セキュリティ ASP からアクセスします。
301423 Windows 2000 Server ベースのコンピューターに、Windows 2000 サポート ツールをインストールする方法
917409 SQL Server 2005 Analysis Services の Kerberos 認証を使用するを構成する方法

プロパティ

文書番号: 828280 - 最終更新日: 2011年7月18日 - リビジョン: 7.0
キーワード:?
kbhowtomaster kbuser kbserver kbservice kbactivedirectory kbcomservices kbkerberos kbdatabase kbsecurity kbauthentication kbclientserver kbcommandline kbmt KB828280 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:828280
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。
サポート期間が終了した「サポート技術情報」資料に関する免責事項
この資料は、マイクロソフトでサポートされていない製品について記述したものです。そのため、この資料は現状ベースで提供されており、今後更新されることはありません。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com