如何配置 SQL Server 2000 Analysis Services 使用 Kerberos 身份验证的实例

文章翻译 文章翻译
文章编号: 828280 - 查看本文应用于的产品
本文已归档。它按“原样”提供,并且不再更新。
展开全部 | 关闭全部

本文内容

概要

当正在运行 Microsoft SQL Server 2000 Analysis Services 和 $ 连接涉及双跃点身份验证方案的计算机建立连接时,您必须使用 Kerberos 作为身份验证协议。例如对于一个双跃点身份验证方案中客户端计算机可能传递登录凭据来运行 Microsoft Internet Information Services (IIS) 的计算机。运行 IIS 的计算机然后必须将登录凭据传递到分析服务器计算机。本文介绍了如何配置分析服务器计算机以使用在 Kerberos 身份验证协议。

配置分析服务器计算机使用 Kerberos 身份验证协议

要配置分析服务器计算机使用 Kerberos 身份验证协议作为,请按照下列步骤操作:
  1. 安装 Analysis Services Service Pack 3 (SP3) 或更高版本,分析服务器计算机上并连接到分析服务器计算机的客户端计算机上。
  2. 注册一个服务主体名称 (SPN) 为 Analysis Services 服务 (MSSQLServerOLAPService) 分析服务器计算机上。

    注意如果本地系统帐户的安全上下文下运行 MSSQLServerOLAPService 服务,将自动创建该 SPN。 如果一个帐户,而不是本地系统帐户的安全上下文下运行 MSSQLServerOLAPService 服务,您必须手动创建该 SPN。若要这样做使用 Microsoft Windows 2000 资源工具包中的 Setspn.exe 实用程序。要下载 Setspn 实用程序,请访问下面的 Microsoft 网站:
    http://www.microsoft.com/downloads/details.aspx?familyid=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46
    下载 Setspn 实用程序后,请按照下列步骤操作:
    1. 若要进行的分析服务器计算机在域帐户下运行的 SPN 在命令提示符处运行以下命令:
      full_path_of_Setspn.exe -A MSOLAPSvc/serverHostName.Fully_Qualified_domainNameserverHostName OLAP_Service_Startup_Account
    2. 如果您必须创建在本地系统帐户下运行的分析服务器计算机的 SPN,在命令提示符处运行以下命令:
      full_path_of_Setspn.exe -A MSOLAPSvc/serverHostName serverHostName
      
    3. 若要验证是否 SPN 已创建的分析在命令提示符处运行以下命令的服务器计算机:
      full_path_of_Setspn.exe -L OLAP_Service_Startup_Account
      
      full_path_of_Setspn.exe -L hostName
    4. 如果该 SPN 已成功创建的分析服务器计算机执行的步骤 2a 或步骤 2b 命令的结果将通常出现在以下格式:
      MSOLAPSvc/serverHostName.domainName MSOLAPSvc/serverHostName
  3. 授予给用作 MSSQLServerOLAPService 服务登录帐户的域用户帐户下列用户权限,请执行下列操作:
    • 作为服务登录
    • 充当操作系统的一部分
    • 替换进程级令牌
    • 创建记号对象
    注意通过使用控制面板中的管理工具中的本地安全策略实用程序,您可以授予用户对域用户帐户的权限。
  4. Analysis Services 安装文件夹中的 BIN 和数据文件夹上的 OLAP 管理员 Windows 组授予完全控制权限。分析服务器计算机上的这些文件夹的路径可能类似于以下内容:
    • 是 Files\Microsoft 分析 Services\BIN
    • 是 Files\Microsoft 分析 Services\Data
  5. 将域用户帐户添加为成员在 OLAP 管理员 Windows 组。
  6. 如果 Analysis Services 存储库已迁移到 SQL Server,域用户帐户必须对知识库数据库的 db_owner 的权限。

配置分析服务器计算机和 Analysis Services 客户端计算机

请确保满足以下条件,则在分析服务器计算机和 Analysis Services 客户端计算机上:
  • 分析服务器计算机都运行 Windows 2000 或更高版本。
  • 分析服务器计算机处于同一个 Windows 域或位于具有双向信任的关系的 Windows 域中。在 Windows 域正在使用 Active Directory 目录服务。
  • 系统上班打卡的分析同步的服务器计算机上。若要同步系统时钟,使用 $ net time 命令。有关 net time 命令的详细信息,请访问下面的 Microsoft 网站:
    http://technet2.microsoft.com/WindowsServer/f/?en/Library/fbf96287-fc67-46bf-8e9e-e79623e85ab51033.mspx
  • 在分析服务器计算机上配置 反向查找区域 属性。

    注意Analysis Services 执行反向搜索的客户端计算机的 IP 地址来解析该 NetBIOS 名称。

    有关如何创建反向查找区域,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    308201如何在 Windows 2000 DNS 服务器上创建一个新的区域
  • 在 Windows 域中的所有 Analysis Services 客户端计算机上的 首选 DNS 设置指向相同的域名系统 (DNS) 服务器。有关如何配置首选的 DNS 服务器的详细信息请访问下面的 Microsoft 网站:
    http://technet2.microsoft.com/WindowsServer/f/?en/Library/28cc8d8c-20fb-4cdb-8915-8df5905cbcf51033.mspx

配置活动目录设置

请确保满足以下所有条件都为真 Active Directory 设置:
  • 对于将被委派的用户帐户没有启用该 帐户是敏感的不能被委派 设置。
  • 不能将被委派的用户帐户被启用该 帐户对于委派是值得信任的 设置。
  • 如果使用域帐户进行登录 MSSQLServerOLAPService 服务,为域帐户启用 帐户对于委派是值得信任的 设置。
  • 帐户对于委派是值得信任的 设置被启用的任何 COM + 组件的进程帐户。
  • 在运行 IIS 的计算机上启用 信任计算机作为委派 设置。

配置 Analysis Services 客户端计算机

请确保两个以下条件属实 Analysis Services 客户端计算机上:
  • 安装 Microsoft ie 5.0 或更高版本。
  • 如果在计算机上安装了 Internet 资源管理器 6.0,启用 启用集成 Windows 身份验证 (需要重启动) 安全选项。

    注意启用集成 Windows 身份验证 (需要重启动) 选项是在 安全性 下,在 Internet 选项 对话框的 高级 选项卡上。您可能需要重新启动计算机以便使用此设置才能生效。

在运行 IIS 的计算机上配置设置

配置 IIS 元数据库以使用协商和 NTLM。 有关如何执行此操作的详细信息单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
215383如何将 IIS 配置成网络的身份验证的支持 Kerberos 协议和 NTLM 协议
如果在域帐户下运行的 IIS 应用程序池,请按照下列步骤操作:
  1. 创建此帐户的 SPN HTTP。为此请在命令提示符处运行以下命令:
    Setspn-一个 HTTP / FQDN MyAppPoolServiceAccount
    注意在此命令 FQDN 是计算机的运行 IIS 的完全合格的域名。MyAppPoolServiceAccount 是帐户的 IIS 应用程序池使用。
  2. "作为操作系统的一部分"用户权限和"后模拟客户端身份验证"用户权限授予应用程序池帐户。
请确保满足以下条件为真双跃点身份验证方案中运行 IIS 的计算机上:
  • 在 IIS 中配置以下设置是为网站或虚拟目录为客户端创建的 Web 应用程序:
    • 集成 Windows 身份验证基本身份验证 设置目录安全身份验证方法。
    • 应用程序保护级别设置为 高 (独立)
  • 下面的组件服务设置配置为 Web 站点或虚拟目录为客户端 Web 应用程序创建的:
    • 委派 设置模拟级别的 COM + 程序包。有关设置模拟级别的详细信息请访问下面的 Microsoft 网站:
      http://msdn2.microsoft.com/en-us/library/ms681722.aspx
    • 应用程序标识的 COM + 程序包被设置为 Windows 域帐户启用了 帐户对于委派是值得信任的 设置。有关设置的应用程序标识的详细信息请访问下面的 Microsoft 网站:
      http://msdn2.microsoft.com/en-us/library/ms687759.aspx
  • 由 Analysis Services 客户端计算机用来连接到分析服务器计算机的连接字符串包含在 SSPI = Kerberos 参数。
  • 如果下一个域运行 MSSQLServerOLAPService 服务帐户,用于连接字符串由该 Analysis Services 包含客户端计算机连接到分析服务器计算机在 SSPI = Kerberos 参数,并使用分析服务器的完全合格的域名。
  • 您可能要创建并注册为运行 IIS 的计算机 SPN。若要进行运行 IIS 的计算机的 SPN 运行以下命令在命令提示符下从 Setspn 实用程序安装文件夹:
    setspn -A http/IIS Computer Name IIS Computer Name
    手动注册为运行 IIS 的计算机 SPN,按照在"配置 Analysis Services 使用在 Kerberos 身份验证协议"的这篇文章部分。

参考

有关详细的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
319723如何在 SQL Server 中使用 Kerberos 身份验证
326985如何在 IIS 中与 Kerberos 相关的问题进行故障排除
283201如何使用在 Windows 2000 中使用 COM + 的委派
215383如何将 IIS 配置成网络的身份验证的支持 Kerberos 协议和 NTLM 协议
266080Kerberos 常见问题的解答
176377使用集成安全性从 ASP 访问 SQL Server
301423如何基于 Windows 2000 Server 的计算机上安装 Windows 2000 支持工具
917409如何配置 SQL Server 2005 Analysis Services 使用 Kerberos 身份验证

属性

文章编号: 828280 - 最后修改: 2013年10月26日 - 修订: 5.3
这篇文章中的信息适用于:
  • Microsoft SQL Server 2000 Analysis Services
关键字:?
kbnosurvey kbarchive kbmt kbkerberos kbcomservices kbclientserver kbactivedirectory kbsecurity kbuser kbauthentication kbcommandline kbservice kbserver kbdatabase kbhowtomaster KB828280 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 828280
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com