如何設定 SQL Server 2000 使用 Kerberos 驗證的分析服務的執行個體

文章翻譯 文章翻譯
文章編號: 828280 - 檢視此文章適用的產品。
本文已封存。本文係以「現狀」提供且不會再更新。
全部展開 | 全部摺疊

在此頁中

結論

連線時執行 Microsoft SQL Server 2000 分析服務和連接包含雙躍點驗證案例的電腦時, 必須使用 Kerberos 做為驗證通訊協定。比方說雙躍點驗證案例中用戶端電腦可能傳遞登入認證到執行 Microsoft 網際網路資訊服務 (IIS) 的電腦。執行 IIS 的電腦必須再給予 Analysis Server 電腦登入認證。本文將告訴您,如何設定分析伺服器電腦,若要使用 [Kerberos 驗證通訊協定。

設定分析伺服器電腦,使用 Kerberos 驗證通訊協定

若要進行的分析 」 伺服器電腦使用 Kerberos 驗證通訊協定作為請依照下列步驟執行:
  1. 安裝分析服務 Service Pack 3 (SP3) 或稍後在 Analysis Server 電腦和用戶端電腦連線到 「 分析 」 伺服器電腦上。
  2. [分析的註冊一個服務主要名稱 (SPN) 服務 Analysis Server 電腦上的服務 (MSSQLServerOLAPService)。

    附註如果 MSSQLServerOLAPService 服務 LocalSystem 帳戶的安全性內容下執行,SPN,就會自動建立。 如果 MSSQLServerOLAPService 服務正在執行的 LocalSystem 帳戶以外的其他帳戶的安全性內容下,您必須以手動方式建立 SPN。如果要執行這項操作,使用 [在 Microsoft Windows 2000 資源工具箱 」 中的 [Setspn.exe 公用程式]。如果要下載 Setspn 公用程式,請造訪下列 Microsoft 網站:
    http://www.microsoft.com/downloads/details.aspx?familyid=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46
    下載 Setspn 公用程式之後請依照下列步驟執行:
    1. 若要建立網域帳戶下執行的分析伺服器電腦的 SPN,在命令提示字元執行下列命令:
      full_path_of_Setspn.exe -A MSOLAPSvc/serverHostName.Fully_Qualified_domainNameserverHostName OLAP_Service_Startup_Account
    2. 如果您必須建立在 LocalSystem 帳戶下執行的分析伺服器電腦的 SPN,請在命令提示字元執行下列命令:
      full_path_of_Setspn.exe -A MSOLAPSvc/serverHostName serverHostName
      
    3. 若要確認 SPN 是否已建立的 [分析伺服器電腦在命令提示字元中執行下列命令:
      full_path_of_Setspn.exe -L OLAP_Service_Startup_Account
      
      full_path_of_Setspn.exe -L hostName
    4. 如果 SPN 成功地建立 [分析的伺服器電腦在步驟 2a 或步驟 2b 中執行命令的結果將會通常顯示以下列格式:
      MSOLAPSvc/serverHostName.domainName MSOLAPSvc/serverHostName
  3. 授與下列使用者權限,作為 MSSQLServerOLAPService 服務登入帳戶的網域使用者帳戶:
    • 以服務登入
    • 扮演作業系統的一部分
    • 更換處理層權杖
    • 建立權杖物件
    附註您可以授與使用者權限,以網域使用者帳戶與利用系統管理工具] 在 [控制台] 中的 「 本機安全性原則 」 公用程式。
  4. 分析服務安裝資料夾中的 [BIN] 和 [資料] 資料夾上的 [OLAP 系統管理員 Windows 群組的 [授與完全控制] 權限。Analysis Server 電腦上這些資料夾的路徑可能類似下列:
    • C:\Program Files\Microsoft 分析 Services\BIN
    • C:\Program Files\Microsoft 分析 Services\Data
  5. 將網域使用者帳戶新增為成員的 「 OLAP 系統管理員 Windows 群組。
  6. 如果分析服務儲存機制已移轉至 SQL Server,網域使用者帳戶必須擁有 db_owner 權限儲存機制資料庫上。

設定分析伺服器電腦和分析服務用戶端電腦

請確定下列情況是在 [分析,則為 True 的伺服器電腦以及分析服務用戶端電腦上:
  • 分析伺服器電腦正在執行 Microsoft Windows 2000 或更新版本。
  • 分析伺服器電腦都在相同的 Windows 網域或 Windows 網域具有雙向信任的關係。在 Windows 網域正在使用 Active Directory 目錄服務。
  • 系統時鐘上分析伺服器電腦會同步處理。若要同步處理系統時鐘,使用 net time 命令。如需有關 net time 命令的詳細資訊,請造訪下列 Microsoft 網站 (英文):
    http://technet2.microsoft.com/WindowsServer/f/?en/Library/fbf96287-fc67-46bf-8e9e-e79623e85ab51033.mspx
  • 反向對應區域] 屬性是分析伺服器電腦上加以設定。

    附註分析服務會執行反向對應的用戶端電腦的 IP 位址解析成 NetBIOS 名稱。

    如需有關如何建立詳細資訊反向對應區域,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項件:
    308201如何在 Windows 2000 中的 DNS 伺服器上建立新的區域
  • Windows 網域中所有分析服務用戶端電腦上的 [慣用的 DNS 設定指向相同的網域名稱系統 (DNS) 伺服器。如需有關如何設定慣用的 DNS 伺服器的詳細資訊,請造訪下列 Microsoft 網站]:
    http://technet2.microsoft.com/WindowsServer/f/?en/Library/28cc8d8c-20fb-4cdb-8915-8df5905cbcf51033.mspx

設定 Active Directory 設定

確定下列所有條件都都適用於 Active Directory 設定:
  • 不會啟用 是機密帳戶,無法委派] 設定,將會被委派的使用者帳戶。
  • 帳戶受信任可以委派 設定不是啟用將委派的使用者帳戶。
  • 如果使用網域帳戶來登入 MSSQLServerOLAPService 服務,網域帳戶已啟用 [帳戶受信任可以委派] 設定。
  • 帳戶受信任可以委派 設定會啟用處理序帳戶的任何 COM + 元件。
  • 在執行 IIS 的電腦上會啟用 信任電腦以便進行委派] 設定。

設定分析服務用戶端電腦

請確定兩種下列情況是在分析服務用戶端電腦上,則為 True:
  • 安裝 Microsoft Internet Explorer 5.0 或更新版本。
  • 如果電腦上安裝網際網路總管 6.0,啟用 [啟用整合的 Windows 驗證 (需要重新啟動)] 安全性選項。

    附註啟用整合的 Windows 驗證 (需要重新開機) 選項是在 [安全性] 下在 [網際網路選項] 對話方塊中 [進階] 索引標籤上。您可能必須重新啟動電腦,讓此設定才會生效。

在執行 IIS 的電腦上設定

設定 IIS Metabase 使用交涉和 NTLM。 如需有關如何執行這項操作的詳細資訊,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
215383如何將 IIS 設定為支援網路驗證 Kerberos 通訊協定和 NTLM 通訊協定
如果執行在網域帳戶的 IIS 應用程式集區請依照下列步驟執行:
  1. 建立這個帳戶的 HTTP SPN。執行此動作請在命令提示字元下執行下列命令:
    Setspn-a HTTP / FQDN MyAppPoolServiceAccount
    附註這個命令 FQDN 是電腦的執行 IIS 的完整格式的網域名稱。MyAppPoolServiceAccount 是帳戶的 IIS 應用程式集區使用。
  2. 授與應用程式集區帳戶,「 作為作業系統系統的一部份 」 使用者權限和模擬用戶端在驗證之後,「 使用者權限。
請確定下列情況是在雙躍點驗證的案例中執行 IIS 的電腦上,則為 True:
  • 在 IIS 中設定以下設定值,是針對 Web 站台或虛擬目錄的用戶端所建立的 Web 應用程式:
    • 目錄安全性的驗證方法是將設定 整合式 Windows 驗證基本驗證
    • 應用程式保護層級設定為 [高 (隔離)
  • 針對 Web 站台或用戶端 Web 應用程式所建立的虛擬目錄設定下列的元件服務設定值:
    • 模擬層級的 COM + 封裝設定為 委派。如需有關模擬層級設定的詳細資訊,請造訪下列 Microsoft 網站:
      http://msdn2.microsoft.com/en-us/library/ms681722.aspx
    • 應用程式識別的 COM + 封裝是設定為 Windows 網域帳號啟用了 [帳戶受信任可以委派] 設定。如需有關設定應用程式識別的詳細資訊,請造訪下列 Microsoft 網站:
      http://msdn2.microsoft.com/en-us/library/ms687759.aspx
  • 用分析服務用戶端電腦連線到 「 分析 」 伺服器電腦的連接字串包含 SSPI = Kerberos 參數。
  • 如果 MSSQLServerOLAPService 服務執行下一個網域帳戶,連接字串,用於分析服務用戶端電腦連線到 「 分析 」 伺服器電腦會包含 SSPI = Kerberos 參數並使用完整格式的網域名稱的分析伺服器。
  • 您可能必須建立並註冊 SPN 為執行 IIS 的電腦。若要建立執行 IIS 的電腦的 SPN,執行下列命令在命令提示字元從 Setspn 公用程式的安裝資料夾:
    setspn -A http/IIS Computer Name IIS Computer Name
    若要手動註冊 SPN 執行 IIS 之電腦,遵循中的步驟"設定分析服務 」 來使用 [Kerberos 驗證通訊協定 」 > 一節。

?考

如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中 「 文件]:
319723如何使用 SQL Server 中的 Kerberos 驗證
326985如何疑難排解與 Kerberos 相關的問題,在 IIS 中
283201如何在 Windows 2000 使用 COM + 中使用委派
215383如何將 IIS 設定為支援網路驗證 Kerberos 通訊協定和 NTLM 通訊協定
266080常見問題集 Kerberos 問題的答案
176377存取 SQL Server 具有從 ASP 的整合式安全性
301423如何在 Windows 2000 Server 電腦上安裝 Windows 2000 支援工具
917409如何設定 SQL Server 2005 分析服務以使用 Kerberos 驗證

屬性

文章編號: 828280 - 上次校閱: 2013年10月26日 - 版次: 5.3
這篇文章中的資訊適用於:
  • Microsoft SQL Server 2000 Analysis Services
關鍵字:?
kbnosurvey kbarchive kbmt kbkerberos kbcomservices kbclientserver kbactivedirectory kbsecurity kbuser kbauthentication kbcommandline kbservice kbserver kbdatabase kbhowtomaster KB828280 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:828280
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com