Como configurar uma instância do SQL Server 2000 Analysis Services para usar a autenticação Kerberos

Traduções deste artigo Traduções deste artigo
ID do artigo: 828280 - Exibir os produtos aos quais esse artigo se aplica.
Este artigo foi arquivado. É oferecido "como está" e não será mais atualizado.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Quando uma conexão é feita a um computador que está executando o Microsoft SQL Server 2000 Analysis Services e conexão envolve um cenário de autenticação de salto duplo, você deve usar Kerberos como o protocolo de autenticação. Por exemplo, em um cenário de autenticação de salto duplo, um computador cliente pode passar as credenciais de logon a um computador que está executando o Microsoft Internet Information Services (IIS). O computador que está executando o IIS, em seguida, deve passar as credenciais de logon para o computador servidor de análise. Este artigo descreve como configurar um computador servidor de análise para usar os Kerberos protocolo de autenticação.

Configurar um computador servidor de análise para usar o protocolo de autenticação Kerberos

Para configurar um computador para usar o Kerberos como o protocolo de autenticação do servidor de análise, execute estas etapas:
  1. Instalar o Analysis Services Service Pack 3 (SP3) ou posterior no computador do servidor de análise e nos computadores cliente que se conectam ao computador do servidor de análise.
  2. Registre um nome principal de serviço (SPN) para o Analysis Services serviço (MSSQLServerOLAPService) no computador do servidor de análise.

    Observação Se o serviço MSSQLServerOLAPService está sendo executado no contexto de segurança da conta LocalSystem, o SPN será criado automaticamente. Se o serviço MSSQLServerOLAPService está sendo executado no contexto de segurança de uma conta diferente da conta LocalSystem, você deve criar manualmente o SPN. Para fazer isso, use o utilitário setspn.exe no Microsoft Windows 2000 Resource Kit. Para baixar o utilitário Setspn, visite o seguinte site:
    http://www.microsoft.com/downloads/details.aspx?familyid=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46
    Depois de baixar o utilitário Setspn, execute estas etapas:
    1. Para criar o SPN para o computador de servidor de análise que está executando sob uma conta de domínio, execute o seguinte comando em um prompt de comando:
      full_path_of_Setspn.exe -A MSOLAPSvc/serverHostName.Fully_Qualified_domainNameserverHostName OLAP_Service_Startup_Account
    2. Se você deve criar o SPN para o computador de servidor de análise que está executando sob a conta do sistema local, execute o seguinte comando em um prompt de comando:
      full_path_of_Setspn.exe -A MSOLAPSvc/serverHostName serverHostName
      
    3. Para verificar se o SPN foi criado para a análise computador servidor, execute os seguintes comandos em um prompt de comando:
      full_path_of_Setspn.exe -L OLAP_Service_Startup_Account
      
      full_path_of_Setspn.exe -L hostName
    4. Se o SPN foi criado com êxito para a análise computador servidor, os resultados do comando executado na etapa 2a ou etapa 2b normalmente serão exibidos no seguinte formato:
      MSOLAPSvc/serverHostName.domainName MSOLAPSvc/serverHostName
  3. Conceda os seguintes direitos de usuário à conta de usuário do domínio é usado como a conta de logon para o serviço MSSQLServerOLAPService:
    • Faça logon como um serviço
    • Atuar como parte do sistema operacional
    • Substituir um token no nível de processo
    • Criar um objeto token
    Observação Você pode conceder direitos à conta de usuário de domínio usando o utilitário de diretiva de segurança local em Ferramentas administrativas no painel de controle.
  4. Permissões de conceder controle total para o grupo do Windows de administradores OLAP nas pastas BIN e dados na pasta de instalação do Analysis Services. O caminho dessas pastas no computador do servidor de análise pode ser semelhante à seguinte:
    • C:\Program Files\Microsoft análise Services\BIN
    • C:\Program Files\Microsoft análise Services\Data
  5. Adicionar a conta de usuário de domínio como membro do OLAP grupo de administradores Windows.
  6. Se o repositório do Analysis Services foi migrado para o SQL Server, a conta de usuário do domínio deve ter permissões db_owner no banco de dados repositório.

Configurar Computadores de servidor de análise e Analysis Services cliente computadores

Verifique se que as seguintes condições são verdadeiras na análise computadores servidores e clientes do Analysis Services:
  • Os computadores de servidor de análise estão executando o Microsoft Windows 2000 ou posterior.
  • Os computadores de servidor de análise estão no mesmo Windows domínio ou em domínios do Windows que tenham uma relação de confiança bidirecional. Os Domínios do Windows estiverem usando o Active Directory diretório serviço.
  • O sistema relógios em análise servidor computadores forem sincronizados. Para sincronizar os relógios do sistema, use o comando net time . Para obter mais informações sobre o comando net time , visite o seguinte site:
    http://technet2.microsoft.com/WindowsServer/f/?en/Library/fbf96287-fc67-46bf-8e9e-e79623e85ab51033.mspx
  • A propriedade de Zonas de pesquisa inversa é configurada nos computadores de servidor de análise.

    Observação O Analysis Services realiza uma pesquisa inversa de endereço IP do computador cliente para resolver o nome NetBIOS.

    Para obter mais informações sobre como criar zonas de pesquisa inversa, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    308201Como criar uma nova zona em um servidor DNS no Windows 2000
  • A configuração DNS preferencial em todos os computadores de cliente Analysis Services no domínio do Windows apontar para o mesmo servidor de nome de domínio (DNS). Para obter mais informações sobre como configurar um servidor DNS preferencial, visite o seguinte site:
    http://technet2.microsoft.com/WindowsServer/f/?en/Library/28cc8d8c-20fb-4cdb-8915-8df5905cbcf51033.mspx

Configurar o Active Directory

Verifique se que todas as seguintes condições são verdadeiras para que as configurações do Active Directory:
  • A configuração de conta é sigilosa e não pode ser delegada não está habilitada para contas de usuário que serão delegadas.
  • A conta é confiável para delegação configuração não é habilitado para contas de usuário que serão delegadas.
  • Se uma conta de domínio é usada para fazer logon no serviço MSSQLServerOLAPService, a configuração de conta é confiável para delegação está habilitada para a conta de domínio.
  • A conta é confiável para delegação configuração é habilitada para a conta de processo para qualquer componente COM +.
  • A configuração Confiar no computador para delegação está ativada no computador que está executando o IIS.

Configurar computadores cliente de Analysis Services

Verifique se que as duas condições a seguir são verdadeiras nos computadores cliente Analysis Services:
  • O Microsoft Internet Explorer 5.0 ou posterior está instalado.
  • Se o Internet Explorer 6.0 estiver instalado no computador, ative a opção de segurança Ativar autenticação integrada do Windows (requer reinicialização) .

    Observação A opção Ativar autenticação integrada do Windows (requer reinicialização) está em segurança na guia Avançado da caixa de diálogo Opções da Internet . Talvez você precise reiniciar o computador para que esta configuração entrem em vigor.

Configurar as configurações no computador que está executando o IIS

Configure a metabase do IIS para usar NTLM e negociar. Para obter mais informações sobre como fazer isso, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
215383Como configurar o IIS para oferecer suporte ao protocolo Kerberos e o protocolo NTLM para autenticação de rede
Se o pool de aplicativos IIS estiver executando sob uma conta de domínio, execute estas etapas:
  1. Crie um SPN HTTP para essa conta. Para fazer isso, execute o seguinte comando em um prompt de comando:
    Setspn - a HTTP / FQDN MyAppPoolServiceAccount
    Observação Neste comando, FQDN é o nome de domínio totalmente qualificado do computador que está executando o IIS. MyAppPoolServiceAccount é a conta que o IIS usa o pool de aplicativos.
  2. Conceda a conta do pool de aplicativo, o direito de usuário "Funcionar como parte do sistema operacional" e o direito de usuário "Representar um cliente após autenticação".
Verifique se que as seguintes condições são verdadeiras no computador que está executando o IIS em um cenário de autenticação de salto duplo:
  • As seguintes opções são configuradas no IIS para o site da Web ou para o diretório virtual que foi criado para o cliente Web do aplicativo:
    • O método de autenticação para a segurança de diretório é configurado para Autenticação integrada do Windows ou Autenticação básica .
    • O nível de proteção de aplicativo é definido como alto (isolado) .
  • São definidas as seguintes configurações de serviços de componentes para o site da Web ou para o diretório virtual que foi criado para o aplicativo Web de cliente:
    • O nível de representação para pacotes COM + é definido como representante . Para obter mais informações sobre como definir um nível de representação, visite o seguinte site:
      http://msdn2.microsoft.com/en-us/library/ms681722.aspx
    • A identidade do aplicativo para pacotes COM + é definida como uma conta de domínio do Windows onde a configuração de conta é confiável para delegação estiver habilitada. Para obter mais informações sobre como configurar uma identidade de aplicativo, visite o seguinte site:
      http://msdn2.microsoft.com/en-us/library/ms687759.aspx
  • A seqüência de conexão que é usada pelo computador cliente Analysis Services para se conectar ao computador servidor análise contém o SSPI = Kerberos parâmetro.
  • Se o serviço MSSQLServerOLAPService está sendo executado em um domínio de conta, a seqüência de conexão que é usada pelo Analysis Services contém o computador cliente se conecte ao computador do servidor de análise a SSPI = Kerberos parâmetro e usa o nome de domínio totalmente qualificado do servidor de análise.
  • Talvez você precise criar e registrar um SPN para o computador que está executando o IIS. Para criar um SPN para o computador que está executando o IIS, execute o seguinte comando em um prompt de comando da pasta de instalação do utilitário Setspn:
    setspn -A http/IIS Computer Name IIS Computer Name
    para registrar manualmente um SPN para o computador que está executando o IIS, execute as etapas a "Configurar Analysis Services para usar os Kerberos protocolo de autenticação" seção deste artigo.

Referências

Para obter mais informações, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
319723Como usar a autenticação Kerberos no SQL Server
326985Como solucionar problemas relacionados ao Kerberos no IIS
283201Como usar delegação no Windows 2000 com +
215383Como configurar o IIS para oferecer suporte ao protocolo Kerberos e o protocolo NTLM para autenticação de rede
266080Respostas para perguntas freqüentes do Kerberos
176377Acessando o SQL Server com segurança integrada do ASP
301423Como instalar as ferramentas de suporte do Windows 2000 em um computador baseado no Windows 2000 Server
917409Como configurar o SQL Server 2005 Analysis Services para usar a autenticação Kerberos

Propriedades

ID do artigo: 828280 - Última revisão: sábado, 26 de outubro de 2013 - Revisão: 5.3
A informação contida neste artigo aplica-se a:
  • Microsoft SQL Server 2000 Analysis Services
Palavras-chave: 
kbnosurvey kbarchive kbmt kbkerberos kbcomservices kbclientserver kbactivedirectory kbsecurity kbuser kbauthentication kbcommandline kbservice kbserver kbdatabase kbhowtomaster KB828280 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 828280

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com