Een exemplaar van SQL Server 2000 Analysis Services Kerberos-verificatie configureren

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 828280 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Samenvatting

Wanneer een verbinding wordt gemaakt met een computer wordt uitgevoerd Microsoft SQL Server 2000 Analysis Services en verbindingen omvat een verificatie met tussenstap scenario moet u Kerberos als de verificatie protocol. In bijvoorbeeld een verificatie met tussenstap scenario client computer kan de aanmeldingsreferenties doorgeven aan een computer waarop Microsoft Internet informatieservices (IIS). De computer waarop IIS wordt uitgevoerd, moet vervolgens de aanmeldingsgegevens doorgeeft Analysis server-computer. In dit artikel Beschrijft hoe u een Analysis server-computer de Kerberos gebruiken verificatieprotocol.

Configureer een Analysis server-computer het verificatieprotocol Kerberos gebruiken

Een Analysis server-computer gebruiken als Kerberos configureren de Authentication protocol, als volgt:
  1. Installeren van Analysis Services Service Pack 3 (SP3) of hoger Analysis server-computer en op de clientcomputers die verbinding met maken de Analysis server-computer.
  2. Service Principal Name (SPN) voor de analyse registreren Service (MSSQLServerOLAPService) op de server Analysis Services.

    OpmerkingAls de MSSQLServerOLAPService-service uitgevoerd onder de de beveiligingscontext van de account LocalSystem, de SPN wordt automatisch gemaakt. Als de MSSQLServerOLAPService-service uitgevoerd onder de beveiligingscontext van een andere account dan LocalSystem-account, moet u handmatig maken de SPN. Gebruik hiervoor het hulpprogramma Setspn.exe in Microsoft Windows 2000 Resourcekit. Bezoek de volgende Microsoft-website downloaden van het hulpprogramma Setspn. website:
    http://www.Microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46
    Na het downloaden van het hulpprogramma Setspn volgt:
    1. Te maken de SPN voor Analysis server-computer wordt uitgevoerd onder een account, de volgende opdracht bij een opdracht uitvoeren prompt:
      full_path_of_Setspn.exe -A MSOLAPSvc/serverHostName.Fully_Qualified_domainNameserverHostName OLAP_Service_Startup_Account
    2. Als u de SPN voor analyseserver moet computer wordt uitgevoerd onder de account LocalSystem, voer de volgende opdracht bij een opdrachtprompt:
      full_path_of_Setspn.exe -A MSOLAPSvc/serverHostName serverHostName
      
    3. Controleren of de SPN is gemaakt voor de analyse servercomputer, voer de volgende opdrachten bij een opdrachtprompt:
      full_path_of_Setspn.exe -L OLAP_Service_Startup_Account
      
      full_path_of_Setspn.exe -L hostName
    4. Als de SPN is gemaakt voor de analyse de resultaten van de opdracht in stap 2a of stap 2b uitgevoerd wordt Server-computer doorgaans worden weergegeven in de volgende notatie:
      MSOLAPSvc/serverHostName.domainName MSOLAPSvc/serverHostName
  3. De volgende gebruikersrechten aan de domeingebruikersaccount verlenen die wordt gebruikt als de aanmeldingsaccount voor de MSSQLServerOLAPService-service:
    • Aanmelden als service
    • Functioneren als deel van het besturingssysteem
    • Een token op procesniveau vervangen
    • Tokenobject maken
    OpmerkingU kunt de gebruikersrechten voor de domeingebruikersaccount verlenen via het hulpprogramma lokaal beveiligingsbeleid in Systeembeheer van besturingselement Deelvenster.
  4. Machtiging Volledig beheer voor de OLAP-beheerders Windows-groep op de OPSLAGLOCATIE en gegevens mappen in de Analysis Services-installatie map. Het pad van deze mappen op de server analyse mogelijk de volgende strekking:
    • C:\Program Files\Microsoft Analysis Services\BIN
    • C:\Program Files\Microsoft Analysis Services\Data
  5. Voeg de domeingebruikersaccount toe als lid van de OLAP Windows-groep Administrators.
  6. Als de opslagplaats van Analysis Services is gemigreerd naar SQL Server, moet de domeingebruikersaccount db_owner machtigingen hebben op de bibliotheekdatabase.

Configureer Analysis server-computers en Analysis Services-clientcomputers

Controleer of de volgende voorwaarden wordt voldaan op de analyse Server-computers en op clientcomputers Analysis Services:
  • Microsoft Windows worden uitgevoerd door Analysis server-computers 2000 of hoger.
  • Analysis server-computers zijn in hetzelfde Windows domein of in Windows-domeinen een tweerichtingsvertrouwensrelatie vertrouwde relatie hebben. De Windows-domeinen gebruikt het Active Directory-service.
  • Het systeem klokken op de Analysis server-computers gesynchroniseerd. De systeemklok synchroniseren, gebruikt u denet timeopdracht. Voor meer informatie over denet timeopdracht, de volgende Microsoft-website:
    http://technet2.Microsoft.com/WindowsServer/f/?en/Library/fbf96287-fc67-46bf-8e9e-e79623e85ab51033.mspx
  • DeZones voor reverse Lookupeigenschap geconfigureerd op de analyseserver computers.

    OpmerkingAnalyseservices een reverse lookup van de client wordt uitgevoerd IP-adres de NetBIOS-naam van de computer.

    Voor meer informatie over het maken zones voor reverse lookup, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
    308201Een nieuwe zone maken op een DNS-server in Windows 2000
  • DeVoorkeurs-DNS-alle op de Analysis Services-clientcomputers in het Windows-domein hetzelfde wijst Domain Name System (DNS) server. Voor meer informatie over het configureren van een Voorkeurs-DNS-server, de volgende Microsoft-website:
    http://technet2.Microsoft.com/WindowsServer/f/?en/Library/28cc8d8c-20fb-4cdb-8915-8df5905cbcf51033.mspx

Active Directory-instellingen configureren

Controleer of alle volgende voorwaarden wordt voldaan voor de Active Directory-instellingen:
  • DeAccount is vertrouwelijk en kan niet overgedragenvoor gebruikersaccounts die is niet ingeschakeld overgedragen.
  • DeAccount wordt vertrouwd voor overdrachtniet is ingeschakeld voor gebruikersaccounts die worden overgedragen.
  • Als een domeinaccount gebruikt zich aanmelden bij de MSSQLServerOLAPService-service deAccount wordt vertrouwd voor overdrachtinstelling is voor de domeinaccount ingeschakeld.
  • DeAccount wordt vertrouwd voor overdrachtinstelling is voor de procesaccount voor elke COM +-onderdeel ingeschakeld.
  • DeComputer vertrouwen voor overdrachtinstelling op de computer waarop IIS is ingeschakeld.

Analysis Services-clients configureren

Controleer of beide volgende voorwaarden wordt voldaan op de Analysis Services-clientcomputers.
  • Microsoft Explorer Internet 5.0 of hoger geïnstalleerd.
  • Als Internet Explorer 6.0 is geïnstalleerd op de computer Schakel de(Vereist geïntegreerde Windows-verificatie inschakelen opnieuw opstarten)de beveiligingsoptie.

    OpmerkingDe(Vereist geïntegreerde Windows-verificatie inschakelen opnieuw opstarten)optie is onderBeveiligingop deGeavanceerdetabblad van hetInternet-optiesdialoogvenster vak. U moet de opnieuw voor deze instelling te activeren.

De instellingen op de computer waarop IIS configureren

De IIS-metabase configureren Onderhandelen en NTLM gebruiken.Klik voor meer informatie over hoe u dit op de volgende artikelnummer in de Microsoft Knowledge Base:
215383IIS ondersteunt het protocol Kerberos en NTLM-protocol voor netwerkverificatie configureren
Als de IIS-toepassingsgroep wordt uitgevoerd onder een domein account, als volgt:
  1. Maak een HTTP-SPN voor deze account. Voer hiervoor de de volgende opdracht bij een opdrachtprompt:
    Setspn - a HTTP /FQDNMyAppPoolServiceAccount
    OpmerkingIn deze opdrachtFQDNis het volledig de domeinnaam van de computer waarop IIS wordt uitgevoerd.MyAppPoolServiceAccountde account die IIS groep van toepassingen.
  2. Verleen de account voor groep van toepassingen Act' als onderdeel van gebruikersrecht besturingssysteem' en de ' een client nabootsen na Authentication' gebruikersrecht.
Zorg ervoor dat de volgende voorwaarden wordt voldaan op de computer waarop IIS wordt uitgevoerd in een tussenstap scenario voor verificatie:
  • De volgende instellingen worden geconfigureerd in IIS voor het Web website of virtuele map die is gemaakt voor de Web client toepassing:
    • De verificatiemethode voor de directory-beveiliging is ingesteld opGeïntegreerde Windows-verificatieofBasic Verificatie.
    • Het beveiligingsniveau van de toepassing is ingesteldHoog (Geïsoleerd).
  • De volgende Component Services-instellingen zijn geconfigureerd. voor de website of virtuele map die is gemaakt voor de client Webtoepassing:
    • Het imitatieniveau voor de COM +-pakketten is ingesteldGemachtigde. Voor meer informatie over het instellen van een imitatie niveau, de volgende Microsoft-website:
      http://msdn2.Microsoft.com/en-us/library/ms681722.aspx
    • De identiteit voor de COM +-pakketten instellen een Windows-domein-account waarin deAccount wordt vertrouwd voor overdrachtinstelling is ingeschakeld. Voor meer informatie over een toepassings-id de volgende Microsoft-website:
      http://msdn2.Microsoft.com/en-us/library/ms687759.aspx
  • De verbindingsreeks die wordt gebruikt door de analyse Services-clientcomputer verbinding met de Analysis server-computer bevat deSSPI Kerberos =parameter.
  • Als de MSSQLServerOLAPService-service wordt uitgevoerd onder een domeinaccount verbindingsreeks die wordt gebruikt door Analysis Services de clientcomputer verbinding met de Analysis server-computer bevat deSSPI Kerberos =parameter en gebruikt u de FQDN-naam van de Analyseserver.
  • Mogelijk moet maken en registreren van een SPN-naam voor de computer waarop wordt IIS uitgevoerd. Maken van een SPN-naam voor de computer waarop IIS wordt uitgevoerd de volgende opdracht bij de opdrachtprompt uit de installatiemap van de Setspn-hulpprogramma:
    setspn -A http/IIS Computer Name IIS Computer Name
    Handmatig een SPN voor de IIS-computer Volg de stappen in 'configureren analyseservices de Kerberos gebruiken sectie verificatieprotocol' van dit artikel.

Referenties

Voor meer informatie, klikt u op de volgende artikelnummers in de Microsoft Knowledge Base:
319723Kerberos-verificatie gebruiken in SQL Server
326985Het oplossen van problemen met Kerberos in IIS
283201Hoe overdracht in Windows 2000 met COM +
215383IIS ondersteunt het protocol Kerberos en NTLM-protocol voor netwerkverificatie configureren
266080Antwoorden op veelgestelde vragen met Kerberos
176377Toegang tot SQL Server met geïntegreerde beveiliging van ASP
301423Windows 2000 support tools installeren op een computer met Windows 2000 Server
917409SQL Server 2005 Analysis Services Kerberos-verificatie configureren

Eigenschappen

Artikel ID: 828280 - Laatste beoordeling: zaterdag 5 maart 2011 - Wijziging: 2.0
De informatie in dit artikel is van toepassing op:
  • Microsoft SQL Server 2000 Analysis Services
Trefwoorden: 
kbkerberos kbcomservices kbclientserver kbactivedirectory kbsecurity kbuser kbauthentication kbcommandline kbservice kbserver kbdatabase kbhowtomaster kbmt KB828280 KbMtnl
Automatisch vertaald artikel
BELANGRIJK: Dit artikel is vertaald door de vertaalmachine software van Microsoft in plaats van door een professionele vertaler. Microsoft biedt u professioneel vertaalde artikelen en artikelen vertaald door de vertaalmachine, zodat u toegang heeft tot al onze knowledge base artikelen in uw eigen taal. Artikelen vertaald door de vertaalmachine zijn niet altijd perfect vertaald. Deze artikelen kunnen fouten bevatten in de vocabulaire, zinsopbouw en grammatica en kunnen lijken op hoe een anderstalige de taal spreekt en schrijft. Microsoft is niet verantwoordelijk voor onnauwkeurigheden, fouten en schade ontstaan door een incorrecte vertaling van de content of het gebruik ervan door onze klanten. Microsoft past continue de kwaliteit van de vertaalmachine software aan door deze te updaten.
De Engelstalige versie van dit artikel is de volgende:828280
Vrijwaring inhoud KB-artikelen over niet langer ondersteunde producten
Dit artikel heeft betrekking op producten waarvoor Microsoft geen ondersteuning meer biedt. Daarom wordt dit artikel alleen in de huidige vorm aangeboden en wordt het niet meer bijgewerkt.

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com