Gewusst wie: Konfigurieren von SQL Server 2008 Analysis Services und SQL Server 2005 Analysis Services, um Kerberos-Authentifizierung verwenden

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 917409 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Wenn eine Verbindung zu einem Computer hergestellt wird, die ausgeführt wird Microsoft SQL Server 2008 Analysis Services oder Microsoft SQL Server 2005 Analysis Services und dass Verbindung umfasst eine Double-Hop-Authentifizierung müssen Sie Kerberos als Authentifizierung verwenden Protokoll. Z. B. in einem Szenario mit Double-Hop-Authentifizierung eines Clients Computer kann die Anmeldeinformationen an einem Computer bestehen, auf dem Microsoft ausgeführt wird Internet-Informationsdienste (IIS). Dann muss der Computer, auf dem IIS ausgeführt wird übergeben Sie die Anmeldeinformationen an den Analysis Services-Server. Die Schritte, die Sie Befolgen Sie muss die Schritte für SQL Server 2000 Analysis unterscheiden Dienste.

EINFÜHRUNG

Dieser Artikel beschreibt das Konfigurieren von SQL Server 2008 Analysis Services und SQL Server 2005 Analysis Services für die Kerberos-Authentifizierung verwenden.

Weitere Informationen

Konfigurieren Sie einen Analysis Services-Server, um das Kerberos-Authentifizierungsprotokoll verwenden

Registrieren eines Dienstprinzipalnamens (SPN) für die Analysis Services Dienst auf dem Analysis Services-Server. Wenn der Analysis Services-Dienst ist unter dem Sicherheitskontext des Kontos "LocalSystem" in SQL Server ausgeführt 2000, wird der SPN automatisch erstellt. Allerdings müssen Sie manuell erstellen die SPN in SQL Server 2008 und SQL Server 2005, wie Sie den SPN in SQL Server 2000 erstellen bei der Analysis Services-Dienst wird unter dem Sicherheitskontext eines Kontos ausgeführt. Anders als das lokale Systemkonto. Um den SPN zu erstellen, verwenden Sie das Setspn.exe in Microsoft Windows 2000 Resource Kit-Dienstprogramm. Dieses Tool ist ebenfalls enthalten in Windows Server 2003-Supporttools. Die Windows Server 2003-Supporttools sind in Windows Server 2003 Service Pack 1 (SP1) enthalten.

Zum Herunterladen das Setspn-Dienstprogramm in Windows 2000 Resource Kit finden Sie hier: Microsoft-Website:
http://www.Microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&displaylang=en
Weitere Informationen dazu, wie Sie das Tool Setspn.exe für Windows Server 2003 zu downloaden klicken Sie auf die folgende Artikelnummer klicken, um den Artikel der Microsoft Knowledge Base anzuzeigen:
970536Setspn.exe-Support-Tool-Update für Windows Server 2003
Nachdem Sie das Setspn-Dienstprogramm heruntergeladen haben, befolgen Sie diese Schritte.

Hinweis Sie müssen ein Mitglied der Gruppe Domänen-Admins ausgeführt werden. das Setspn -Befehl. Wenn der Analysis Services-Instanz gruppiert ist, verwenden Sie den Analysis Services virtuellen Namen als den vollqualifizierten Domänennamen (FQDN).
  1. Um den SPN für den Analysis Services-Server zu erstellen, ist Führen Sie unter einem Domänenkonto ausgeführt wird, folgende Befehle an einer Eingabeaufforderung ein:
    • Setspn.exe -S MSOLAPSvc.3/Fully_Qualified_domainName OLAP_Service_Startup_Account

      Hinweis Fully_Qualified_domainName ist ein Platzhalter für den vollqualifizierten Domänennamen.
    • Setspn.exe -S MSOLAPSvc.3/serverHostName OLAP_Service_Startup_Account
  2. Wenn Sie den SPN für den Analysis Services-Server erstellen müssen ausgeführt wird unter dem Konto LocalSystem, führen Sie die folgenden Befehle an einer Eingabeaufforderung:
    • Setspn.exe -S MSOLAPSvc.3/Fully_Qualified_domainName serverHostName
    • Setspn.exe -S MSOLAPSvc.3/serverHostName serverHostName
  3. Um zu überprüfen, ob der SPN für die Analyse erstellt wurde Services-Server, führen Sie die folgenden Befehle an einer Eingabeaufforderung.
    Setspn.exe -L OLAP_Service_Startup_Account 
    Setspn.exe -L serverHostName
    Wenn Sie der SPN für den Analysis Services-Server erfolgreich erstellt wurde, die Ergebnisse dieses Befehls werden in der Regel im folgenden Format angezeigt.
    MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName 
    MSOLAPSvc.3/serverHostName
Hinweis SQL Server 2005 Analysis Services können als benannte Instanz ausgeführt werden. Dies ist in SQL Server 2000 Analysis Services nicht unterstützt. Wenn Sie eine benannte Instanz verwenden, gelten die gleichen Schritte. Allerdings müssen Sie die folgenden Formaten SPN konfigurieren. Im Gegensatz zu können nicht mit der SQL Server-Engine und Sie einen Anschluss nach dem Doppelpunkt angegeben. Sie müssen den tatsächlichen Instanznamen für die gesamte Funktionalität verwenden, ordnungsgemäß funktioniert.
MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName:instanceName
MSOLAPSvc.3/serverHostName:instanceName

Konfigurieren von Active Directory-Einstellungen

Stellen Sie sicher, dass alle folgenden Bedingungen true sind die Active Directory Directory Service-Einstellungen:
  • Die Konto ist vertraulich und darf nicht sein delegiert Einstellung ist nicht für Benutzerkonten aktiviert, die delegiert.
  • Die Konto wird für Delegierungszwecke vertraut Einstellung ist für das Domänenkonto der mittleren Ebene aktiviert, die eine Verbindung zu Analysis Services herstellt. Z. B. wenn IIS der mittleren Ebene ist und ein Domänenkonto für den Anwendungspool verwendet wird, diese Domäne Anwendungspoolkonto benötigen die Konto wird für Delegierungszwecke vertraut Einstellung aktiviert ist.
  • Die Konto wird für Delegierungszwecke vertrautEinstellung für die Konten aller Dienste und COM+-Komponenten aktiviert ist, der Prozess beteiligt sind.
  • Die Computer für Delegierungszwecke vertrauen Einstellung für alle Computer aktiviert ist, die im Prozess beteiligt sind.
Hinweis Alle Konten und Servern, die in den Prozess einbezogen werden müssen. gehören Sie zu derselben Active Directory-Domäne oder an vertrauenswürdigen Domänen in derselben Gesamtstruktur. Wenn Sie systemeigene Windows 2003-Gesamtstrukturen und Sie weitere Informationen wünschen über die gesamtstrukturübergreifende Delegierung zu aktivieren, finden im Abschnitt "Gesamtstruktur-Vertrauensstellungen" die folgende Microsoft-Website:
http://technet2.Microsoft.com/WindowsServer/en/Library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx?mfr=true

Konfigurieren von Analysis Services-Client-Computern

Stellen Sie sicher, dass auf der Analyse die folgenden Bedingungen zutreffen Services-Client-Computern:
  • Microsoft Internet Explorer 5.0 oder höher ist. installiert.
  • Wenn Internet Explorer 6 auf dem Computer installiert ist dieIntegrierte Windows-Authentifizierung aktivieren (Neustart erforderlich)Sicherheit aktiviert ist.
  • Wenn die Analysis Services eine benannte Instanz ist, müssen Sie die MSOLAPDisco.3-SPN für SQL-Browser erstellen. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    950599Ein SPN für SQL Server-Browserdienst ist erforderlich, wenn Sie eine Verbindung zu einer benannten Instanz von SQL Server 2005 Analysis Services oder SQL Server 2005 herstellen
Hinweis Die Integrierte Windows-Authentifizierung aktivieren (erfordert Neustart) Option befindet sich unter Sicherheit auf der Erweiterte Registerkarte der Internetoptionen Dialogfeld im Feld. Sie möglicherweise zum Neustarten des Computers für diese Einstellung wirksam wird.

Konfigurieren Sie die Einstellungen auf dem Computer, auf dem IIS ausgeführt wird

Stellen Sie sicher, dass auf dem Computer die folgenden Bedingungen zutreffen IIS wird in einem Szenario mit Double-Hop-Authentifizierung ausgeführt:
  • Die folgenden Einstellungen sind für das Web in IIS konfiguriert. Website oder für das virtuelle Verzeichnis, für den Web-Client erstellt wurde Anwendung:
    • Ist die Authentifizierungsmethode für die Verzeichnissicherheit Legen Sie auf Integrierte Windows-Authentifizierung oder Grundlegende Authentifizierung.
    • Die Anwendungsschutzebene ist auf festgelegt Hohe (Isoliert).
  • Die folgenden Component Services-Einstellungen konfiguriert sind für die Website oder für das virtuelle Verzeichnis, für den Client erstellt wurde Webanwendung:
    • Die Identitätswechselebene für COM+-Pakete ist auf festgelegt Delegaten. Weitere Informationen zum Festlegen einer Impersonation level, die folgende Microsoft-Website:
      http://msdn2.Microsoft.com/en-us/library/ms681722.aspx
    • Die Identität für die COM+-Pakete wird festgelegt. auf einem Windows-Domänenkonto, in denen die Konto wird für Delegierung Einstellung aktiviert ist. Weitere Informationen zum Festlegen Eine Anwendungsidentität finden Sie auf der folgenden Microsoft-Website:
      http://msdn2.Microsoft.com/en-us/library/ms681314.aspx
  • Die Verbindungszeichenfolge, die von Analysis Services verwendet wird Client-Computer die Verbindung zum Analysis Services-Server enthält die SSPI Kerberos = Parameter.
  • In der Verbindungszeichenfolge muss der Namen der Datenquelle sein den vollqualifizierten Domänennamen (FQDN) oder einen NetBIOS-Namen. Zum Beispiel der vollqualifizierte Domänenname sein kannmyhost.MeineDomäne.com, und der Name des NetBIOS- Meinhostname. Bei Angabe einer numerische IP-Adresse, Kerberos-Authentifizierung ist deaktiviert.
  • Ein SPN für den Computer, auf dem IIS ausgeführt wird möglicherweise sein erstellt und registriert. SPN erstellt werden, hängt von den Computernamen oder den Hostnamen und die Identität des Anwendungspools IIS ab. Weitere Informationen zum Erstellen eines SPN für den Computer, auf dem IIS ausgeführt wird, klicken Sie auf die folgende Artikelnummer klicken, um den Artikel der Microsoft Knowledge Base anzuzeigen:
    929650Verwenden von Dienstprinzipalnamen bei der Konfiguration von Webanwendungen gehostet werden, die in IIS 6.0
    setspn -S http/IISComputerName IISComputerName
    Um einen SPN für den Computer manuell zu registrieren, auf dem IIS ausgeführt wird, führen Sie die Schritte in der "Configure Analysis Services, die die Kerberos verwenden Authentication-Protokoll"-Abschnitt.
  • Ein Authentifizierungsanbieter Negotiate muss auf dem IIS-Server aktiviert werden, um Kerberos-Authentifizierung zu ermöglichen. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    215383Gewusst wie: Konfigurieren von IIS, um das Kerberos-Protokoll und das NTLM-Protokoll für Netzwerkauthentifizierung zu unterstützen
  • Die Uhr für den Kerberos-Client und dem Domänencontroller muss so weit wie möglich synchronisiert werden. Weitere Informationen zu den maximalen zeitlichen Unterschied finden Sie auf der folgenden Microsoft-Website:
    http://technet.Microsoft.com/en-us/library/cc779260.aspx
Wenn Sie diese Schritte überprüft haben und Sie weiterhin nicht verwendet werden Kerberos, führen Sie die Schritte im folgenden Knowledge Base-Artikel sammeln Weitere Informationen zur Problembehandlung aus dem System-Ereignisprotokoll: Weitere Informationen klicken Sie auf die folgende Artikelnummer klicken, um Lesen Sie den Artikel in der Microsoft Knowledge Base:
262177Aktivieren der Kerberos-Ereignisprotokollierung

Informationsquellen

Weitere Informationen über das Konfigurieren einer SQL Server 2000 Analysis Server-Computer Kerberos-Authentifizierung verwenden, klicken Sie auf die folgende Artikelnummer klicken, um den Artikel der Microsoft Knowledge Base anzuzeigen:
828280Gewusst wie: Konfigurieren einer Instanz von SQL Server 2000 Analysis Services für die Kerberos-Authentifizierung verwenden
Weitere Informationen über die TechNet Support WebCast für dieses Betreff, klicken Sie auf die folgende Artikelnummer klicken, um den Artikel der Microsoft Knowledge Base anzuzeigen:
916962TechNet Support WebCast: Microsoft SQL Server 2005 Analysis Services für die Kerberos-Authentifizierung konfigurieren
Wenn Microsoft SharePoint Portal Server auf dem Middle-Tier-Computer installiert ist, kann das virtuelle Verzeichnis konfiguriert werden nur NTLM-Authentifizierung. Weitere Informationen zum Aktivieren des virtueller Verzeichnis negotiate-Authentifizierung (Kerberos), klicken Sie auf die folgende Artikelnummer klicken, um den Artikel der Microsoft Knowledge Base anzuzeigen:
832769Gewusst wie: Konfigurieren eines virtuellen Windows SharePoint Services-Servers, um Kerberos-Authentifizierung verwenden und zum Wechseln von Kerberos-Authentifizierung zurück zur NTLM-Authentifizierung

Eigenschaften

Artikel-ID: 917409 - Geändert am: Donnerstag, 30. Mai 2013 - Version: 8.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft SQL Server 2008 Analysis Services
  • Microsoft SQL Server 2005 Analysis Services
Keywords: 
kbsqlsetup kbexpertiseadvanced kbsql2005as kbhowto kbmt KB917409 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 917409
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com