Αναγν. άρθρου: 917409 - Τελευταία αναθεώρηση: Κυριακή, 29 Μαΐου 2011 - Αναθεώρηση: 4.0

Τρόπος ρύθμισης παραμέτρων υπηρεσιών ανάλυσης του SQL Server 2008 και υπηρεσίες ανάλυσης του SQL Server 2005, για να χρησιμοποιήσετε τον έλεγχο ταυτότητας Kerberos

Παράλληλη προβολήΠροβολή του πρωτότυπου αγγλικού άρθρου και της ελληνικής μετάφρασης αντικριστά
Μηχανικά μεταφρασμένοΠΡΟΕΙΔΟΠΟΙΗΣΗ: ΑΥΤΟ ΤΟ ΑΡΘΡΟ ΜΕΤΑΦΡΑΣΤΗΚΕ ΜΕ ΜΗΧΑΝΙΚΗ ΜΕΤΑΦΡΑΣΗ
Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Συμβουλή συστήματοςΑυτό το άρθρο ισχύει για διαφορετικό λειτουργικό σύστημα από αυτό που χρησιμοποιείτε. Το περιεχόμενο του άρθρου που ενδέχεται να μην σας αφορά έχει απενεργοποιηθεί.

Σε αυτήν τη σελίδα

Ανάπτυξη όλων | Σύμπτυξη όλων

Περίληψη

Όταν πραγματοποιείται μια σύνδεση σε έναν υπολογιστή που εκτελεί το Υπηρεσίες ανάλυσης του Microsoft SQL Server 2008 ή υπηρεσίες ανάλυσης του Microsoft SQL Server 2005 και ότι η σύνδεση περιλαμβάνει ένα σενάριο διπλού άλματος ελέγχου ταυτότητας, πρέπει να χρησιμοποιήσετε Kerberos ως έλεγχο ταυτότητας το πρωτόκολλο. Για παράδειγμα, σε ένα σενάριο διπλού άλματος έλεγχο ταυτότητας, ένας υπολογιστής-πελάτης υπολογιστής μπορεί να περάσει τις πιστοποιήσεις σύνδεσης σε έναν υπολογιστή που εκτελεί το Microsoft Υπηρεσίες Internet Information Services (IIS). Πρέπει στη συνέχεια να τον υπολογιστή που εκτελεί τις IIS Διαβιβάστε τις πιστοποιήσεις σύνδεσης στο διακομιστή υπηρεσιών ανάλυσης. Τα βήματα που πρέπει να ακολουθήστε διαφέρουν από τα βήματα για την ανάλυση του SQL Server 2000 Υπηρεσίες.
Επιστροφή στην αρχή

ΕΙΣΑΓΩΓΉ

Αυτό το άρθρο περιγράφει τον τρόπο ρύθμισης των υπηρεσιών ανάλυσης του SQL Server 2008 και SQL Server 2005 Υπηρεσίες ανάλυσης για να χρησιμοποιήσετε τον έλεγχο ταυτότητας Kerberos.
Επιστροφή στην αρχή

Περισσότερες πληροφορίες

Ρυθμίστε τις παραμέτρους ενός διακομιστή υπηρεσιών ανάλυσης για να χρησιμοποιήσετε το πρωτόκολλο ελέγχου ταυτότητας Kerberos

Καταχωρήστε ένα όνομα αρχής υπηρεσίας (SPN) για τις υπηρεσίες ανάλυσης η υπηρεσία του διακομιστή υπηρεσιών ανάλυσης. Εάν η υπηρεσία υπηρεσίες ανάλυσης εκτελείται στο περιβάλλον ασφαλείας του λογαριασμού LocalSystem στον SQL Server 2000, το SPN δημιουργείται αυτόματα. Ωστόσο, θα πρέπει να δημιουργήσετε με μη αυτόματο τρόπο το SPN στον SQL Server 2008 και στον SQL Server 2005, όπως η δημιουργία του κύριου ονόματος Υπηρεσίας του SQL Server 2000 όταν το Υπηρεσίες ανάλυσης εκτελούνται στο περιβάλλον ασφαλείας ενός λογαριασμού εκτός από το λογαριασμό LocalSystem. Για να δημιουργήσετε το SPN, χρησιμοποιήστε το Setspn.exe βοηθητικό πρόγραμμα Microsoft Windows 2000 Resource Kit. Το εργαλείο αυτό περιλαμβάνεται επίσης στα εργαλεία υποστήριξης των Windows Server 2003. Τα εργαλεία των Windows Server 2003 υποστήριξης περιλαμβάνονται στο Windows Server 2003 Service Pack 1 (SP1).

Για να κάνετε λήψη το βοηθητικό πρόγραμμα Setspn στο Windows 2000 Resource Kit, επισκεφθείτε την παρακάτω Τοποθεσία Web της Microsoft:
http://www.Microsoft.com/downloads/details.aspx;FamilyID = 5fd831fd-ab77-46a3-9cfe-ff01d29e5c46 & DisplayLang = en (http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en)
Για περισσότερες πληροφορίες σχετικά με τον τρόπο λήψης το εργαλείο Setspn.exe για Windows Server 2003, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
970536  (http://support.microsoft.com/kb/970536/ ) Ενημερωμένη έκδοση εργαλείο Setspn.exe υποστήριξη για Windows Server 2003
Επιπλέον, μπορείτε να χρησιμοποιήσετε το βοηθητικό πρόγραμμα Kerbtray επαλήθευση και να καταργήσετε Kerberos tickets από ένα ή περισσότερα από το σχετικό Οι υπολογιστές που χρησιμοποιούνται. Για να κάνετε λήψη του βοηθητικού προγράμματος Kerbtray, επισκεφθείτε την ακόλουθη τοποθεσία Web της Microsoft:
http://www.Microsoft.com/downloads/details.aspx;FamilyID = 4e3a58be-29f6-49f6-85be-e866af8e7a88 & displaylang = en (http://www.microsoft.com/downloads/details.aspx?FamilyID=4e3a58be-29f6-49f6-85be-e866af8e7a88&displaylang=en)
Μετά τη λήψη του βοηθητικού προγράμματος Setspn, ακολουθήστε αυτά τα βήματα.

Σημείωση Πρέπει να είστε μέλος της ομάδας Domain Administrators για να εκτελέσετε το Setspn η εντολή. Εάν συμπλέγματος παρουσία των υπηρεσιών ανάλυσης, χρησιμοποιήστε το εικονικό όνομα υπηρεσιών ανάλυσης ως το πλήρως αναγνωρισμένο όνομα τομέα (FQDN).
  1. Για να δημιουργήσετε το SPN για το διακομιστή υπηρεσιών ανάλυσης που είναι εκτελείται σε ένα λογαριασμό τομέα, εκτελέστε τις ακόλουθες εντολές στη γραμμή εντολών:
    • Setspn.exe -S MSOLAPSvc.3/Fully_Qualified_domainName OLAP_Service_Startup_Account

      Σημείωση Fully_Qualified_domainName είναι ένα σύμβολο κράτησης θέσης για το FQDN.
    • Setspn.exe -S MSOLAPSvc.3/serverHostName OLAP_Service_Startup_Account
  2. Εάν πρέπει να δημιουργήσετε το SPN για το διακομιστή υπηρεσιών ανάλυσης που εκτελείται στο λογαριασμό LocalSystem, εκτελέστε τις ακόλουθες εντολές σε μια γραμμή εντολών:
    • Setspn.exe -S MSOLAPSvc.3/Fully_Qualified_domainName serverHostName
    • Setspn.exe -S MSOLAPSvc.3/serverHostName serverHostName
  3. Για να επαληθεύσετε εάν το SPN δημιουργήθηκε για την ανάλυση Οι υπηρεσίες διακομιστή, εκτελέστε τις ακόλουθες εντολές στη γραμμή εντολών.
    Setspn.exe -L OLAP_Service_Startup_Account 
Setspn.exe -L serverHostName
    Εάν το SPN δημιουργήθηκε με επιτυχία για το διακομιστή υπηρεσιών ανάλυσης τα αποτελέσματα αυτής της εντολής εμφανίζονται συνήθως με την ακόλουθη μορφή.
    MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName 
MSOLAPSvc.3/serverHostName
Σημείωση Υπηρεσίες ανάλυσης του SQL Server 2005 μπορεί να λειτουργήσει ως μια επώνυμη εμφάνιση. Αυτό δεν υποστηρίζεται στις υπηρεσίες ανάλυσης του SQL Server 2000. Εάν χρησιμοποιείτε μια περίοδο λειτουργίας με όνομα, ισχύουν τα ίδια βήματα. Ωστόσο, πρέπει να ρυθμίσετε τις παρακάτω μορφές SPN. Αντίθετα με το μηχανισμό SQL Server, δεν μπορείτε να καθορίσετε μια θύρα μετά την άνω και κάτω τελεία. Για να λειτουργήσει σωστά, πρέπει να χρησιμοποιήσετε το όνομα της πραγματικής παρουσίας για όλες τις λειτουργίες.
MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName:instanceName
MSOLAPSvc.3/serverHostName:instanceName
Επιστροφή στην αρχή

Ρύθμιση παραμέτρων της υπηρεσίας καταλόγου Active Directory

Βεβαιωθείτε ότι όλες οι ακόλουθες συνθήκες είναι αληθής για το Ρυθμίσεις υπηρεσίας καταλόγου Active Directory:
  • Το Λογαριασμός είναι ευαίσθητα και δεν είναι δυνατό να ανάθεση η ρύθμιση είναι ενεργοποιημένη για λογαριασμούς χρηστών που θα ανάθεση.
  • Το Ο λογαριασμός είναι αξιόπιστος για αντιπροσώπευση η ρύθμιση είναι ενεργοποιημένη για λογαριασμό τομέα μεσαίο επίπεδο που συνδέεται σε υπηρεσίες ανάλυσης. Για παράδειγμα, εάν οι υπηρεσίες IIS είναι Μεσαίο επίπεδο και ένα λογαριασμό τομέα χρησιμοποιείται για το χώρο συγκέντρωσης εφαρμογών, το λογαριασμό τομέα του χώρου συγκέντρωσης εφαρμογών πρέπει να έχετε το Ο λογαριασμός είναι αξιόπιστος για αντιπροσώπευση ενεργοποιημένη τη ρύθμιση.
  • Το Ο λογαριασμός είναι αξιόπιστος για αντιπροσώπευσηη ρύθμιση είναι ενεργοποιημένη για τους λογαριασμούς όλων των υπηρεσιών και των στοιχείων COM + που είναι που συμμετέχουν στη διαδικασία.
  • Το Υπολογιστής αξιοπιστίας για αντιπροσώπευση ρύθμιση ενεργοποιείται για όλους τους υπολογιστές που συμμετέχουν στη διαδικασία.
Σημείωση Όλους τους λογαριασμούς και τους διακομιστές που συμμετέχουν στη διαδικασία πρέπει να ανήκουν στον ίδιο τομέα υπηρεσίας καταλόγου Active Directory ή σε αξιόπιστους τομείς στο ίδιο σύμπλεγμα δομών. Εάν έχετε εγγενή δάση Windows 2003 και θέλετε περισσότερες πληροφορίες σχετικά με τον τρόπο για να ενεργοποιήσετε την αντιπροσώπευση όλα τα συμπλέγματα δομών, ανατρέξτε στην ενότητα "Σχέσεις αξιοπιστίας συμπλεγμάτων δομών" η ακόλουθη τοποθεσία Web της Microsoft:
http://technet2.Microsoft.com/windowsserver/en/library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx?mfr=TRUE (http://technet2.microsoft.com/WindowsServer/en/library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx?mfr=true)
Επιστροφή στην αρχή

Ρύθμιση παραμέτρων υπολογιστών-πελατών υπηρεσιών ανάλυσης

Βεβαιωθείτε ότι οι ακόλουθες συνθήκες είναι αληθής για την ανάλυση Οι υπολογιστές-πελάτες των υπηρεσιών:
  • Microsoft Internet Explorer 5.0 ή νεότερη έκδοση η εγκατάσταση.
  • Εάν ο Internet Explorer 6 είναι εγκατεστημένο στον υπολογιστή, τοΕνεργοποίηση ενσωματωμένου ελέγχου ταυτότητας των Windows (απαιτεί επανεκκίνηση)είναι ενεργοποιημένη η επιλογή ασφαλείας.
  • Εάν μια επώνυμη εμφάνιση υπηρεσίες ανάλυσης, πρέπει να δημιουργήσετε MSOLAPDisco.3 SPN περιήγησης SQL. Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    950599  (http://support.microsoft.com/kb/950599/ ) Απαιτείται ένα SPN για την υπηρεσία SQL Server Browser, κατά τη δημιουργία μιας σύνδεσης σε μια επώνυμη εμφάνιση των υπηρεσιών ανάλυσης του SQL Server 2005 ή του SQL Server 2005
Σημείωση Το Ενεργοποίηση ενσωματωμένου ελέγχου ταυτότητας των Windows (απαιτεί επανεκκίνηση) η επιλογή βρίσκεται στην περιοχή Ασφαλείας από το Για προχωρημένους στο το Επιλογές Internet παράθυρο διαλόγου πλαίσιο. Ίσως χρειαστεί να κάνετε επανεκκίνηση του υπολογιστή για να ισχύσει αυτή η ρύθμιση.
Επιστροφή στην αρχή

Ρυθμίστε τις παραμέτρους του υπολογιστή που εκτελεί τις υπηρεσίες IIS

Βεβαιωθείτε ότι ισχύουν οι ακόλουθες συνθήκες στον υπολογιστή που εκτελεί τις υπηρεσίες IIS σε ένα σενάριο διπλού άλματος ελέγχου ταυτότητας:
  • Οι παρακάτω παράμετροι έχουν ρυθμιστεί στις υπηρεσίες IIS για το Web τοποθεσία ή για τον εικονικό κατάλογο που δημιουργήθηκε για το πρόγραμμα-πελάτη Web εφαρμογή:
    • Η μέθοδος ελέγχου ταυτότητας για ασφάλεια καταλόγου Ορίστε Ο ενσωματωμένος έλεγχος ταυτότητας των Windows ή σε Βασική Έλεγχος ταυτότητας.
    • Το επίπεδο προστασίας εφαρμογών έχει οριστεί σε Υψηλή (Απομονωμένη).
  • Ρυθμίζονται οι παρακάτω ρυθμίσεις υπηρεσιών στοιχείων για την τοποθεσία Web ή τον εικονικό κατάλογο που δημιουργήθηκε για το πρόγραμμα-πελάτη Εφαρμογή Web:
    • Ορίζεται επίπεδο απομίμησης για πακέτα COM + Πληρεξούσιο. Για περισσότερες πληροφορίες σχετικά με τον τρόπο ορισμού ενός απομίμηση επιπέδου, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
      http://msdn2.Microsoft.com/en-us/library/ms681722.aspx (http://msdn2.microsoft.com/en-us/library/ms681722.aspx)
    • Ορισμός ταυτότητας εφαρμογής για πακέτα COM + σε ένα λογαριασμό τομέα των Windows όπου το Είναι αξιόπιστος για λογαριασμό αντιπροσώπευση η ρύθμιση είναι ενεργοποιημένη. Για περισσότερες πληροφορίες σχετικά με τον τρόπο ορισμού ταυτότητα εφαρμογής, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
      http://msdn2.Microsoft.com/en-us/library/ms681314.aspx (http://msdn2.microsoft.com/en-us/library/ms681314.aspx)
  • Η συμβολοσειρά σύνδεσης που χρησιμοποιείται από τις υπηρεσίες ανάλυσης υπολογιστής-πελάτης για να συνδεθείτε με διακομιστή υπηρεσιών ανάλυσης που περιέχει το SSPI = Kerberos η παράμετρος.
  • Στη συμβολοσειρά σύνδεσης πρέπει να είναι το όνομα της προέλευσης δεδομένων το πλήρως αναγνωρισμένο όνομα τομέα (FQDN) ή ένα όνομα NETBIOS. Για παράδειγμα, Ίσως το FQDNmyhost.ΕναΌνομαΧρήστη ΈναςΤομέας.com, και μπορεί να είναι το όνομα NETBIOS myHostName. Εάν καθορίσετε ένα αριθμητική διεύθυνση IP, τον έλεγχο ταυτότητας Kerberos είναι απενεργοποιημένο.
  • Πρέπει να είναι ένα SPN για τον υπολογιστή που εκτελεί τις υπηρεσίες IIS δημιουργήθηκε και έχει καταχωρηθεί. SPN θα δημιουργηθεί εξαρτάται από το όνομα υπολογιστή ή όνομα κεντρικού υπολογιστή και η ταυτότητα του χώρου συγκέντρωσης εφαρμογών IIS. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας ενός SPN για τον υπολογιστή που εκτελεί τις IIS, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    929650  (http://support.microsoft.com/kb/929650/ ) Τρόπος χρήσης SPN, όταν ρυθμίζετε τις εφαρμογές Web που φιλοξενούνται σε IIS 6.0
    setspn -S http/IISComputerName IISComputerName
    Για να καταχωρήσετε με μη αυτόματο τρόπο ένα SPN για τον υπολογιστή που εκτελεί τις IIS, ακολουθήστε τα βήματα του "ρύθμιση παραμέτρων υπηρεσιών ανάλυσης για να χρησιμοποιήσετε το Kerberos πρωτόκολλο ελέγχου ταυτότητας"ενότητα.
  • Μια υπηρεσία παροχής ελέγχου ταυτότητας Negotiate πρέπει να ενεργοποιηθεί σε διακομιστή IIS για τον έλεγχο ταυτότητας Kerberos. Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    215383  (http://support.microsoft.com/kb/215383/ ) Τρόπος ρύθμισης παραμέτρων των υπηρεσιών IIS για την υποστήριξη του πρωτοκόλλου Kerberos και του πρωτοκόλλου NTLM για έλεγχο ταυτότητας δικτύου
  • Το ρολόι για το πρόγραμμα-πελάτης Kerberos και του ελεγκτή τομέα πρέπει να συγχρονιστούν με όσο το δυνατόν ακριβέστερα. Για περισσότερες πληροφορίες σχετικά με τη μέγιστη χρονική διαφορά, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
    http://technet.Microsoft.com/en-us/library/cc779260.aspx (http://technet.microsoft.com/en-us/library/cc779260.aspx)
Εάν έχετε επαληθεύσει όλα αυτά τα βήματα και εξακολουθείτε να μην μπορείτε να χρησιμοποιήσετε Kerberos, ακολουθήστε τα βήματα στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft για τη συλλογή περισσότερες πληροφορίες αντιμετώπισης προβλημάτων από το αρχείο καταγραφής συμβάντων συστήματος: Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
262177  (http://support.microsoft.com/kb/262177/ ) Πώς να ενεργοποιήσετε την καταγραφή συμβάντων Kerberos
Επιστροφή στην αρχή

Αναφορές

Για περισσότερες πληροφορίες σχετικά με τον τρόπο ρύθμισης παραμέτρων του SQL Server 2000 Υπολογιστή διακομιστή ανάλυσης για να χρησιμοποιήσετε τον έλεγχο ταυτότητας Kerberos, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
828280  (http://support.microsoft.com/kb/828280/ ) Τρόπος ρύθμισης των παραμέτρων μιας παρουσίας υπηρεσίες ανάλυσης του SQL Server 2000 για να χρησιμοποιήσετε τον έλεγχο ταυτότητας Kerberos
Για περισσότερες πληροφορίες σχετικά με την εκπομπή υποστήριξης στο TechNet στο Web για αυτό θέμα, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
916962  (http://support.microsoft.com/kb/916962/ ) Εκπομπή υποστήριξης στο TechNet στο Web: Ρύθμιση παραμέτρων των υπηρεσιών ανάλυσης του Microsoft SQL Server 2005 για τον έλεγχο ταυτότητας Kerberos
Εάν το Microsoft SharePoint Portal Server είναι εγκατεστημένο στον υπολογιστή μεσαίας στοιβάδας, εικονικού καταλόγου μπορεί να ρυθμιστεί να επιτρέπει έλεγχο ταυτότητας μόνο NTLM. Για περισσότερες πληροφορίες σχετικά με τον τρόπο για να ενεργοποιήσετε την εικονική καταλόγου για να επιτρέψετε την διαπραγμάτευση του ελέγχου ταυτότητας (Kerberos), κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
832769  (http://support.microsoft.com/kb/832769/ ) Τρόπος ρύθμισης παραμέτρων ενός εικονικού διακομιστή υπηρεσιών Windows SharePoint Services για να χρησιμοποιήσετε τον έλεγχο ταυτότητας Kerberos και Τρόπος εναλλαγής από έλεγχο ταυτότητας Kerberos σε έλεγχο ταυτότητας NTLM
Επιστροφή στην αρχή
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
Επιστροφή στην αρχή
Λέξεις-κλειδιά: 
kbsqlsetup kbexpertiseadvanced kbsql2005as kbhowto kbmt KB917409 KbMtel
Επιστροφή στην αρχή
Μηχανικά μεταφρασμένοΜηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:917409  (http://support.microsoft.com/kb/917409/en-us/ )
Επιστροφή στην αρχή