Como configurar uma instância do SQL Server 2000 Analysis Services para utilizar a autenticação Kerberos

Traduções de Artigos Traduções de Artigos
Artigo: 828280 - Ver produtos para os quais este artigo se aplica.
Este artigo foi arquivado. Este artigo é oferecido "tal como está" e deixará de ser actualizado.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Quando é estabelecida uma ligação a um computador com o Microsoft SQL Server 2000 Analysis Services e ligação envolve um cenário de autenticação de saltos duplos, tem de utilizar Kerberos como o protocolo de autenticação. Por exemplo, um cenário de autenticação de saltos duplos, um computador cliente poderá de passar as credenciais de início de sessão para um computador com o ISS (Serviços de informação Internet Information Services). O computador que está a executar o IIS, em seguida, tem de passar as credenciais de início de sessão ao computador do servidor de análise. Este artigo descreve como configurar um computador de servidor de análise para utilizar os Kerberos protocolo de autenticação.

Configurar um computador servidor de análise para utilizar o protocolo de autenticação Kerberos

Para configurar um computador de servidor de análise para utilizar Kerberos como o protocolo de autenticação, siga estes passos:
  1. Instalar o Analysis Services Service Pack 3 (SP3) ou posterior no computador servidor de análise e nos computadores cliente ligar ao computador servidor de análise.
  2. Registar um nome principal de serviço (SPN) para a análise dos serviços de serviço (MSSQLServerOLAPService) no computador de servidor de análise.

    Nota Se o serviço MSSQLServerOLAPService estiver em execução no contexto de segurança da conta LocalSystem, o SPN é criado automaticamente. Se o serviço MSSQLServerOLAPService está em execução no contexto de segurança de uma conta diferente da conta LocalSystem, terá de criar manualmente o SPN. Para o fazer, utilize o utilitário Setspn.exe no Microsoft Windows 2000 Resource Kit. Para transferir o utilitário Setspn, visite o seguinte Web site da Microsoft:
    http://www.microsoft.com/downloads/details.aspx?familyid=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46
    Depois de transferir o utilitário Setspn, siga estes passos:
    1. Para criar o SPN do computador de servidor de análise que é executado numa conta de domínio, execute o seguinte comando numa linha de comandos:
      full_path_of_Setspn.exe -A MSOLAPSvc/serverHostName.Fully_Qualified_domainNameserverHostName OLAP_Service_Startup_Account
    2. Se tem de criar o SPN do computador de servidor de análise que está a ser executado sob a conta LocalSystem, execute o seguinte comando numa linha de comandos:
      full_path_of_Setspn.exe -A MSOLAPSvc/serverHostName serverHostName
      
    3. Para verificar se o SPN foi criado para análise do computador servidor, execute os seguintes comandos numa linha de comandos:
      full_path_of_Setspn.exe -L OLAP_Service_Startup_Account
      
      full_path_of_Setspn.exe -L hostName
    4. Se o SPN foi criado com êxito para análise do computador servidor, os resultados do comando executado no passo 2a ou passo 2b normalmente aparecem no seguinte formato:
      MSOLAPSvc/serverHostName.domainName MSOLAPSvc/serverHostName
  3. Conceda direitos de utilizador seguintes a conta de utilizador de domínio que é utilizada como a conta de início de sessão para o serviço MSSQLServerOLAPService:
    • Iniciar sessão como um serviço
    • Actuar como parte do sistema operativo
    • Substituir um token de nível de processo
    • Criar um objecto token
    Nota Pode conceder direitos de utilizador para a conta de utilizador de domínio utilizando o utilitário de política de segurança local em Ferramentas administrativas no painel de controlo.
  4. Permissões conceder controlo total ao grupo de OLAP administradores Windows nas pastas BIN e dados na pasta de instalação do Analysis Services. O caminho destas pastas no computador servidor de análise pode ser semelhante à seguinte:
    • C:\Program Files\Microsoft análise Services\BIN
    • C:\Program Files\Microsoft análise Services\Data
  5. Adicione a conta de utilizador de domínio como um membro do OLAP grupo de administradores Windows.
  6. Se o repositório do Analysis Services foi migrado para o SQL Server, a conta de utilizador de domínio tem de ter permissões de proprietário na base de dados do repositório.

Configurar Computadores servidor de análise e os Analysis Services computadores cliente

Certifique-se que as seguintes condições são verdadeiras na análise computadores servidores e computadores do Analysis Services:
  • Os computadores de servidor de análise são o Microsoft Windows 2000 ou posterior.
  • Os computadores de servidor de análise são do Windows mesmo domínio ou em domínios do Windows que tenham uma relação fidedigna bidireccional. Os Domínios do Windows estão a utilizar o serviço de directório do Active Directory.
  • O sistema relógios na análise computadores servidores são sincronizados. Para sincronizar os relógios do sistema, utilize o comando net time . Para obter mais informações sobre o comando net time , visite o seguinte Web site da Microsoft:
    http://technet2.microsoft.com/WindowsServer/f/?en/Library/fbf96287-fc67-46bf-8e9e-e79623e85ab51033.mspx
  • A propriedade de Zonas de pesquisa inversa é configurada em computadores servidor de análise.

    Nota Serviços de análise efectua uma pesquisa inversa do endereço IP do computador cliente para resolver o nome de NetBIOS.

    Para obter mais informações sobre como criar zonas de pesquisa inversa, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
    308201Como criar uma nova zona num servidor de DNS no Windows 2000
  • A definição de DNS preferido no todos os computadores de cliente Analysis Services no domínio Windows apontar para o mesmo servidor de sistema de nomes de domínio (DNS, Domain Name System). Para mais informações sobre como configurar um servidor de DNS preferencial, visite o seguinte Web site da Microsoft:
    http://technet2.microsoft.com/WindowsServer/f/?en/Library/28cc8d8c-20fb-4cdb-8915-8df5905cbcf51033.mspx

Configurar definições do Active Directory

Certifique-se que as seguintes condições são verdadeiras para as definições do Active Directory:
  • A definição de conta é sensível e não pode ser delegada não está activada para contas de utilizador que serão delegadas.
  • A conta é fidedigna para delegação definição não está activada para contas de utilizador que serão delegadas.
  • Se uma conta de domínio é utilizada para iniciar sessão serviço MSSQLServerOLAPService, a definição de conta é fidedigna para delegação está activada para a conta de domínio.
  • A conta é fidedigna para delegação definição está activada para a conta de processo para qualquer componente do COM +.
  • A definição de computador para delegação é fidedigno estiver activada no computador que está a executar o IIS.

Configurar computadores cliente de Analysis Services

Certifique-se que ambas as seguintes condições são verdadeiras nos computadores cliente Analysis Services:
  • Microsoft Internet Explorer 5.0 ou posterior está instalado.
  • Se o Internet Explorer 6.0 estiver instalado no computador, Active a opção de segurança Activar autenticação integrada do Windows (requer reinicialização) .

    Nota A opção Activar autenticação integrada do Windows (requer reinicialização) está em segurança no separador Avançadas da caixa de diálogo Opções da Internet . Poderá ter de reiniciar o computador para que esta definição tenha efeito.

Configurar as definições no computador que está a executar o IIS

Configure a metabase do IIS para utilizar negociar e NTLM. Para obter mais informações sobre como efectuar este procedimento, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
215383Como configurar o IIS para suportar o protocolo Kerberos e o protocolo NTLM para autenticação de rede
Se o agrupamento de aplicações do IIS é executado sob uma conta de domínio, siga estes passos:
  1. Crie um SPN de HTTP para esta conta. Para efectuar este procedimento, execute o seguinte comando numa linha de comandos:
    Setspn - a HTTP / FQDN MyAppPoolServiceAccount
    Nota Neste comando, FQDN é o nome de domínio totalmente qualificado do computador que está a executar o IIS. MyAppPoolServiceAccount é a conta que o IIS utiliza o agrupamento de aplicações.
  2. Conceda a conta de agrupamento de aplicações, o direito de utilizador "Actuar como parte do sistema operativo" e o direito de utilizador "Representar um cliente após autenticação".
Certifique-se que as seguintes condições são verdadeiras num computador que está a executar o IIS num cenário de saltos duplos autenticação:
  • As seguintes definições são configuradas no IIS para o Web site ou para o directório virtual que foi criado para o cliente Web aplicação:
    • O método de autenticação para o directório de segurança é definido para A autenticação integrada do Windows ou a Autenticação básica .
    • O nível de protecção de aplicação é definido para Alta (isolada) .
  • As definições dos Serviços componentes seguintes são configuradas para o Web site ou para o directório virtual que foi criado para a aplicação Web do cliente:
    • O nível de representação para pacotes COM + é definido como delegado . Para mais informações sobre como definir um nível de representação, visite o seguinte Web site da Microsoft:
      http://msdn2.microsoft.com/en-us/library/ms681722.aspx
    • A identidade de aplicação para os pacotes COM + está definida para uma conta de domínio do Windows em que a definição de conta é fidedigna para delegação é activada. Para mais informações sobre como definir uma identidade de aplicação, visite o seguinte Web site da Microsoft:
      http://msdn2.microsoft.com/en-us/library/ms687759.aspx
  • A cadeia de ligação é utilizada pelo computador de cliente do Analysis Services para ligar ao computador servidor de análise contém o SSPI = Kerberos parâmetro.
  • Se o serviço MSSQLServerOLAPService está em execução num domínio da conta, a cadeia de ligação é utilizada pelos serviços de análise de computador cliente para ligar ao computador servidor de análise contém o SSPI = Kerberos parâmetro e utiliza o nome de domínio totalmente qualificado do servidor de análise.
  • Poderá ter de criar e registar um SPN para o computador que está a executar o IIS. Para criar um SPN para o computador que está a executar o IIS, execute o seguinte comando numa linha de comandos da pasta de instalação do utilitário Setspn:
    setspn -A http/IIS Computer Name IIS Computer Name
    para registar manualmente um SPN para o computador que está a executar o IIS, siga os passos de "Configurar Analysis Services para utilizar os Kerberos protocolo de autenticação" secção deste artigo.

Referências

Para obter mais informações, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
319723Como utilizar a autenticação Kerberos no SQL Server
326985Como resolver problemas relacionados com Kerberos no IIS
283201Como utilizar a delegação no Windows 2000 com +
215383Como configurar o IIS para suportar o protocolo Kerberos e o protocolo NTLM para autenticação de rede
266080Respostas a perguntas mais frequentes Kerberos
176377Aceder ao SQL Server com a segurança integrada do ASP
301423Como instalar as ferramentas de suporte do Windows 2000 num computador baseado no Windows 2000 Server
917409Como configurar o SQL Server 2005 Analysis Services para utilizar a autenticação Kerberos

Propriedades

Artigo: 828280 - Última revisão: 3 de fevereiro de 2014 - Revisão: 5.3
A informação contida neste artigo aplica-se a:
  • Microsoft SQL Server 2000 Analysis Services
Palavras-chave: 
kbnosurvey kbarchive kbmt kbkerberos kbcomservices kbclientserver kbactivedirectory kbsecurity kbuser kbauthentication kbcommandline kbservice kbserver kbdatabase kbhowtomaster KB828280 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 828280

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com