Konfigurace ověřování protokolem Kerberos na serveru SQL Server 2008 Analysis Services a SQL Server 2005 Analysis Services

Překlady článku Překlady článku
ID článku: 917409 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Při připojení k počítači se systémem Služby pro analýzu serveru Microsoft SQL Server 2008 nebo Microsoft SQL Server 2005 Analysis Services a že zahrnuje připojení scénář ověřování dvojím směrováním, je nutné použít protokol Kerberos jako ověření protokol. Například v případě dvojího směrování ověřování, klient počítač může předat pověření pro přihlášení k počítači se systémem Microsoft Internetová informační služba (IIS). Pak musí počítač se spuštěnou službou IIS předáte pověření pro přihlášení k serveru služby Analysis Services. Kroky, které musí následovat shodný s postupem pro SQL Server 2000 analýza Služby.

ÚVOD

Tento článek popisuje postup konfigurace služby pro analýzu serveru SQL Server 2008 a SQL Server 2005 Analysis Services k ověřování pomocí protokolu Kerberos.

Další informace

Konfigurace serveru služby Analysis Services pro použití protokolu pro ověřování Kerberos

Zaregistrovat hlavní název služby (SPN) pro služby Analysis Services Služba na serveru služby Analysis Services. Pokud je služba Analysis Services spuštěna v kontextu zabezpečení účtu LocalSystem na serveru SQL Server 2000, hlavní název služby se vytvoří automaticky. Nicméně, je nutné vytvořit ručně SPN v SQL Server 2008 a SQL Server 2005 jako vytvořit hlavní název služby SQL Server 2000 při Služba Analysis Services je spuštěna v kontextu zabezpečení účtu jiný než účet LocalSystem. Chcete-li vytvořit hlavní název služby, použijte Setspn.exe program systému Microsoft Windows 2000 Resource Kit. Tento nástroj je součástí v nástrojích podpory systému Windows Server 2003. Nástroje podpory systému Windows Server 2003 jsou součástí systému Windows Server 2003 Service Pack 1 (SP1).

Chcete-li stáhnout Nástroj Setspn v systému Windows 2000 Resource Kit, navštivte následující Web společnosti Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&displaylang=en
Další informace o tom, jak stáhnout nástroj Setspn.exe pro systém Windows Server 2003 klepněte na následující číslo článku databáze Microsoft Knowledge Base:
970536Aktualizace nástroje Setspn.exe podporu pro systém Windows Server 2003
Po stažení nástroje Setspn postupujte kroky.

Poznámka: Musíte být členem skupiny Domain Administrators, spustit příkazu Setspn . Pokud je v clusteru instance Analysis Services, použijte jako úplný doménový název (FQDN) název virtuálního serveru služby Analysis Services.
  1. Chcete-li vytvořit hlavní název služby pro server Analysis Services, který je spuštěna pod účtem domény, spusťte na příkazovém řádku následující příkazy:
    • -S MSOLAPSvc.3/ Setspn.exeFully_Qualified_domainName OLAP_Service_Startup_Account

      Poznámka: Fully_Qualified_domainName je zástupný symbol pro název FQDN.
    • -S MSOLAPSvc.3/ Setspn.exeserverHostName OLAP_Service_Startup_Account
  2. Pokud je nutné vytvořit hlavní název služby pro server služby pro analýzu který je spuštěn pod účtem LocalSystem, spusťte následující příkazy v příkazový řádek:
    • -S MSOLAPSvc.3/ Setspn.exeFully_Qualified_domainName serverHostName
    • -S MSOLAPSvc.3/ Setspn.exeserverHostName serverHostName
  3. Chcete-li ověřit, zda byla vytvořena hlavní název služby pro analýzu Služba server, spusťte následující příkazy na příkazovém řádku.
    Setspn.exe -L OLAP_Service_Startup_Account 
    Setspn.exe -L serverHostName
    Pokud hlavní název služby byl úspěšně vytvořen serveru služby Analysis Services výsledky tohoto příkazu se obvykle zobrazí v následujícím formátu.
    MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName 
    MSOLAPSvc.3/serverHostName
Poznámka: SQL Server 2005 Analysis Services může fungovat jako pojmenovaná instance. Tato možnost není podporována v SQL Server 2000 Analysis Services. Pokud používáte pojmenovanou instanci, použije stejný postup. Nicméně je nutné nakonfigurovat následující formáty názvů SPN. Na rozdíl od stroje SQL Server, nelze zadat port za dvojtečkou. Musí použít název skutečné instance pro všechny funkce pracovat správně.
MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName:instanceName
MSOLAPSvc.3/serverHostName:instanceName

Konfigurace nastavení služby Active Directory

Ujistěte se, že tyto podmínky platí pro Nastavení služby Active Directory adresářové služby:
  • Na Účet je citlivý a nelze delegovat není povoleno nastavení uživatelských účtů, které budou delegovat.
  • Na Účet je důvěryhodný pro delegování je povoleno nastavení pro účet domény ze střední vrstvy, který se připojuje ke službě Analysis Services. Například, pokud se používá účet domény pro fond aplikací služby IIS je střední vrstva, tohoto účtu fondu aplikací musí mít Účet je důvěryhodný pro delegování nastavení povoleno.
  • Na Účet je důvěryhodný pro delegováníje povoleno nastavení účtů všech služeb a součástí modelu COM +, se podílejí na pracovním procesu.
  • Na Důvěřovat počítači pro delegování nastavení je povoleno pro všechny počítače, které se účastní procesu.
Poznámka: Všechny účty a všechny servery, které se účastní procesu musí patří do stejné domény služby Active Directory nebo důvěryhodných domén ve stejné doménová struktura. Pokud máte nativní doménových struktur systému Windows 2003 a chcete získat více informací o tom, jak povolit delegování v rámci struktury, naleznete v části "Vztahy důvěryhodnosti doménové struktury" na následujícím webu společnosti Microsoft:
http://technet2.microsoft.com/windowsserver/en/library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx?mfr=true

Konfigurace klientských počítačů služby Analysis Services

Ujistěte se, že tyto podmínky jsou splněny na základě analýzy Klientské počítače služeb:
  • Microsoft Internet Explorer 5.0 nebo novější nainstalován.
  • Pokud je v počítači nainstalována aplikace Internet Explorer 6Povolit Integrované ověření systémem Windows (vyžaduje restartování)je povolena možnost zabezpečení.
  • Pokud pojmenované instance služby Analysis Services, je nutné vytvořit MSOLAPDisco.3 SPN pro prohlížeč SQL. Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
    950599Při navázání připojení k pojmenované instance serveru SQL Server 2005 Analysis Services nebo SQL Server 2005 je požadován název SPN pro službu Prohlížeč serveru SQL
Poznámka: Na Povolit Integrované ověření systémem Windows (vyžaduje restartování) možnost je umístěn pod Zabezpečení na Rozšířené karty v Možnosti Internetu Dialogové okno pole. Bude pravděpodobně nutné restartovat počítač, aby toto nastavení se projeví.

Konfigurace nastavení v počítači se spuštěnou službou IIS

Přesvědčte se, zda platí následující podmínky v počítači který se spuštěnou službou IIS v případě ověřování dvojím směrováním:
  • Následující nastavení jsou konfigurovány ve službě IIS na webu webu nebo virtuálního adresáře, který byl vytvořen pro klienta webové aplikace:
    • Metoda ověřování pro zabezpečení adresáře Chcete-li nastavit Integrované ověřování systému Windows nebo Základní Ověřování.
    • Úroveň ochrany aplikace je nastavena na Vysoká (Samostatný).
  • Je konfigurováno následující nastavení služby Component Services pro webový server nebo virtuální adresář, který byl vytvořen pro klienta Webová aplikace:
    • Úroveň zosobnění pro aplikaci modelu COM + balíčky je nastavena na Delegát. Další informace o nastavení zosobnění na úrovni, navštivte následující Web společnosti Microsoft:
      http://msdn2.microsoft.com/en-us/library/ms681722.aspx
    • Nastavení identity aplikace COM + balíčky k účtu v doméně Windows kde Účet je důvěryhodný pro delegování je nastavení povoleno. Další informace o způsobu nastavení identity aplikací, navštivte následující Web společnosti Microsoft:
      http://msdn2.microsoft.com/en-us/library/ms681314.aspx
  • Připojovací řetězec, který se používá ve službě pro analýzu klientský počítač může připojit k serveru služby Analysis Services obsahuje rozhraní SSPI = Kerberos parametr.
  • V připojovacím řetězci musí být název zdroje dat plně kvalifikovaný název domény (FQDN) nebo název NETBIOS. Například, název FQDN může býtmyhost.domena.com, a může být název NETBIOS myHostName. Pokud zadáte číselnou adresu IP, ověřování pomocí protokolu Kerberos je zakázáno.
  • Název SPN pro počítač se spuštěnou službou IIS může být třeba Vytvoření a registraci. SPN vytvořit, závisí na název počítače nebo název hostitele a identita fondu aplikací služby IIS. Další informace o tom, jak vytvořit hlavní název služby v počítači se spuštěnou službou IIS klepněte na následující číslo článku databáze Microsoft Knowledge Base:
    929650Použití názvů SPN při konfiguraci webových aplikací, které jsou hostovány ve službě IIS 6.0
    setspn -S http/IISComputerName IISComputerName
    Chcete-li ručně zaregistrovat hlavní název služby v počítači se spuštěnou službou IIS, postupujte kroky v "Konfigurace služby analýzy použití Kerberos sekce protokol ověřování".
  • Zprostředkovatele ověřování Negotiate musí být povoleno na serveru IIS pro ověřování pomocí protokolu Kerberos. Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
    215383Jak nakonfigurovat službu IIS pro podporu protokolu Kerberos a protokol NTLM k ověřování k síti
  • Je třeba synchronizovat hodin Kerberos klienta a řadiče domény co možná nejvíce. Další informace o maximální časový rozdíl navštivte následující Web společnosti Microsoft:
    http://technet.microsoft.com/en-us/library/cc779260.aspx
Pokud jste ověřili všechny tyto kroky a stále nelze použít Kerberos, postupujte podle kroků v následujícím článku znalostní báze Knowledge Base můžete získat Další informace Poradce při potížích z protokolu událostí systému: Další informace získáte klepnutím na následující číslo článku zobrazení článku znalostní báze Microsoft Knowledge Base:
262177Jak povolit protokolování událostí protokolu Kerberos

Odkazy

Další informace o konfiguraci SQL Server 2000 Analýza serveru k ověřování pomocí protokolu Kerberos, získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
828280Postup při konfiguraci instance SQL Server 2000 Analysis Services k ověřování pomocí protokolu Kerberos
Další informace o webové vysílání podpory webu TechNet pro tento předmět, získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
916962Webové vysílání podpory na webu TechNet: Konfigurace služby Microsoft SQL Server 2005 Analysis Services pro ověřování pomocí protokolu Kerberos
Pokud Microsoft SharePoint Portal Server nainstalovaný na počítači střední vrstvy, virtuální adresář může nakonfigurovat tak, aby pouze ověřování NTLM. Další informace o tom, jak povolit virtuální adresář umožňuje vyjednat ověřování (Kerberos), získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
832769Jak nakonfigurovat virtuální server služby Windows SharePoint Services k ověřování pomocí protokolu Kerberos a jak přepnout z tohoto ověřování zpět na ověřování protokolem NTLM

Vlastnosti

ID článku: 917409 - Poslední aktualizace: 30. května 2013 - Revize: 8.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft SQL Server 2008 Analysis Services
  • Microsoft SQL Server 2005 Analysis Services
Klíčová slova: 
kbsqlsetup kbexpertiseadvanced kbsql2005as kbhowto kbmt KB917409 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku: 917409

Dejte nám zpětnou vazbu