Cómo configurar SQL Server 2008 Analysis Services y SQL Server 2005 Analysis Services para utilizar la autenticación de Kerberos

Seleccione idioma Seleccione idioma
Id. de artículo: 917409 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

Cuando se realiza una conexión a un equipo que está ejecutando Microsoft SQL Server 2008 Analysis Services o Microsoft SQL Server 2005 Analysis Services y que implica la conexión de un escenario de autenticación de doble salto, debe utilizar Kerberos como la autenticación Protocolo. Por ejemplo, en un escenario de autenticación de doble salto, un cliente equipo puede pasar las credenciales de inicio de sesión a un equipo que ejecute Microsoft Servicios de Internet Information Server (IIS). El equipo que ejecuta IIS, a continuación, debe pasar las credenciales de inicio de sesión al servidor de Analysis Services. Los pasos que usted debe seguir difieren los pasos para el análisis de SQL Server 2000 Servicios.

INTRODUCCIÓN

Este artículo describe cómo configurar SQL Server 2008 Analysis Services y SQL Server 2005 Analysis Services para utilizar la autenticación Kerberos.

Más información

Configurar un servidor de Analysis Services para utilizar el protocolo de autenticación Kerberos

Registrar un nombre Principal de servicio (SPN) para Analysis Services servicio en el servidor de Analysis Services. Si el servicio de Analysis Services ejecuta en el contexto de seguridad de la cuenta LocalSystem en SQL Server el SPN de 2000, se crea automáticamente. Sin embargo, debe crear manualmente la SPN de SQL Server 2008 y SQL Server 2005 como crear el SPN en SQL Server 2000 cuando el Servicio de Analysis Services se ejecuta en el contexto de seguridad de una cuenta distinta de la cuenta LocalSystem. Para crear el SPN, utilice el Setspn.exe utilidad en el Kit de recursos de Microsoft Windows 2000. Esta herramienta también se incluye en las herramientas de soporte técnico de Windows Server 2003. Las herramientas de soporte técnico de Windows Server 2003 se incluyen en Windows Server 2003 Service Pack 1 (SP1).

Para descargar la utilidad Setspn en el Kit de recursos de Windows 2000, visite el siguiente Sitio Web de Microsoft:
http://www.Microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&displaylang=en
Para obtener más información acerca de cómo descargar la herramienta Setspn.exe para Windows Server 2003, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
970536Actualizada con compatibilidad con la herramienta Setspn.exe para Windows Server 2003
Después de descargar la herramienta Setspn, siga estos pasos.

Nota Debe ser miembro del grupo Administradores de dominio para ejecutar el comando Setspn . Si la instancia de Analysis Services está agrupada, utilice el nombre virtual de Analysis Services como el nombre de dominio completo (FQDN).
  1. Para crear el SPN para el servidor de Analysis Services es ejecutando bajo una cuenta de dominio, ejecute los comandos siguientes en un símbolo del sistema:
    • Setspn.exe -S MSOLAPSvc.3/Fully_Qualified_domainName OLAP_Service_Startup_Account

      Nota Fully_Qualified_domainName es un marcador de posición para el nombre completo.
    • Setspn.exe -S MSOLAPSvc.3/serverHostName OLAP_Service_Startup_Account
  2. Si tiene que crear el SPN para el servidor de Analysis Services que se ejecuta bajo la cuenta LocalSystem, ejecute los siguientes comandos en un símbolo del sistema:
    • Setspn.exe -S MSOLAPSvc.3/Fully_Qualified_domainName serverHostName
    • Setspn.exe -S MSOLAPSvc.3/serverHostName serverHostName
  3. Para comprobar si el SPN se ha creado para el análisis Servicios de servidor, ejecute los comandos siguientes en un símbolo del sistema.
    Setspn.exe -L OLAP_Service_Startup_Account 
    Setspn.exe -L serverHostName
    Si se ha creado correctamente el SPN para el servidor de Analysis Services los resultados de este comando suelen aparecerán en el siguiente formato.
    MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName 
    MSOLAPSvc.3/serverHostName
Nota SQL Server 2005 Analysis Services puede funcionar como una instancia con nombre. Esto no se admite en SQL Server 2000 Analysis Services. Si utiliza una instancia con nombre, se aplican los mismos pasos. Sin embargo, debe configurar los siguientes formatos SPN. A diferencia de con el motor de SQL Server, no se puede especificar un puerto después de los dos puntos. Debe utilizar el nombre de instancia real de toda la funcionalidad para funcionar correctamente.
MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName:instanceName
MSOLAPSvc.3/serverHostName:instanceName

Configurar las opciones de Active Directory

Asegúrese de que todas las condiciones siguientes son verdaderas para el Configuración de servicio de directorio de Active Directory:
  • La Cuenta es confidencial y no puede ser delegada opción no está habilitada para las cuentas de usuario que será delegada.
  • La Se confía para delegación está habilitada para la cuenta de dominio de nivel medio que se está conectando a Analysis Services. Por ejemplo, si IIS es el nivel medio y se utiliza una cuenta de dominio para el grupo de aplicaciones, esa cuenta de dominio del grupo de aplicaciones debe tener el Se confía para delegación opción habilitada.
  • La Se confía para delegaciónestá habilitada para las cuentas de todos los servicios y componentes COM + que están implicados en el proceso.
  • La Confiar en el equipo para la delegación configuración de está habilitado para todos los equipos que intervienen en el proceso.
Nota Todas las cuentas y servidores que participan en el proceso debe pertenecen al mismo dominio de Active Directory o a dominios de confianza en la misma bosque. Si tiene bosques nativos de Windows 2003 y desea obtener más información acerca de cómo habilitar la delegación entre bosques, consulte la sección "Confianzas de bosque" de el siguiente sitio Web de Microsoft:
http://technet2.Microsoft.com/WindowsServer/en/Library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx?mfr=true

Configurar los equipos cliente de Analysis Services

Asegúrese de que las siguientes condiciones son verdaderas en el análisis Los equipos cliente de servicios:
  • Microsoft Internet Explorer 5.0 o una versión posterior instalado.
  • Si Internet Explorer 6 está instalado en el equipo, elHabilitar la autenticación integrada de Windows (requiere reinicio)está habilitada la opción de seguridad.
  • Si Analysis Services es una instancia con nombre, debe crear el SPN de MSOLAPDisco.3 para el Explorador de SQL. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    950599Se requiere un SPN para el servicio de explorador de SQL Server cuando se establece una conexión a una instancia con nombre de SQL Server 2005 Analysis Services o SQL Server 2005
Nota La Habilitar la autenticación integrada de Windows (requiere reiniciar) opción se encuentra en el Seguridad En la página Avanzada ficha en la Opciones de Internet cuadro de diálogo cuadro. Deberá reiniciar el equipo para esta configuración surta efecto.

Configurar las opciones en el equipo que ejecuta IIS

Asegúrese de que las siguientes condiciones son verdaderas en el equipo en un escenario de autenticación de doble salto, que está ejecutando IIS:
  • Las siguientes opciones se configuran en IIS para el Web para el directorio virtual que se ha creado para el cliente Web o sitio aplicación:
    • Es el método de autenticación para la seguridad del directorio Establezca en Autenticación integrada de Windows o a Básico Autenticación.
    • El nivel de protección de aplicación se establece en Alta (Aislado).
  • Se configuran los siguientes valores de servicios de componentes para el sitio Web o para el directorio virtual que se creó para el cliente Aplicación Web:
    • Se establece el nivel de suplantación para los paquetes COM + Delegado. Para obtener más información acerca de cómo establecer un suplantación de nivel, visite el siguiente sitio Web de Microsoft:
      http://msdn2.Microsoft.com/en-us/library/ms681722.aspx
    • Se establece la identidad de aplicación para los paquetes COM + a una cuenta de dominio de Windows donde el Se confía para la cuenta delegación está habilitada. Para obtener más información acerca de cómo establecer una identidad de aplicación, visite el siguiente sitio Web de Microsoft:
      http://msdn2.Microsoft.com/en-us/library/ms681314.aspx
  • La cadena de conexión utilizada por Analysis Services equipo cliente para conectarse al servidor de Analysis Services contiene las SSPI = Kerberos parámetro.
  • En la cadena de conexión, el nombre del origen de datos debe ser el nombre de dominio completo (FQDN) o en un nombre NETBIOS. Por ejemplo, puede ser el FQDNmyhost.midominio.com, y puede ser el nombre NETBIOS myHostName. Si especifica un dirección IP numérica, la autenticación Kerberos está deshabilitado.
  • Puede que sea un SPN para el equipo que ejecuta IIS creado y registrado. El SPN que se cree depende en el nombre del equipo o el nombre de host y la identidad del grupo de aplicaciones de IIS. Para obtener más información acerca de cómo crear un SPN para el equipo que ejecuta IIS, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    929650Cómo usar SPN al configurar aplicaciones Web que se alojan en IIS 6.0
    setspn -S http/IISComputerName IISComputerName
    Para registrar manualmente un SPN para el equipo que ejecuta IIS, siga los pasos descritos en "configurar Analysis Services para utilizar Kerberos sección de protocolo de autenticación".
  • Un proveedor de autenticación Negotiate debe habilitarse en el servidor IIS para permitir la autenticación Kerberos. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    215383Cómo configurar IIS para que admita el protocolo Kerberos y el protocolo NTLM para la autenticación de red
  • En la mayor medida posible, se debe sincronizar el reloj para el cliente de Kerberos y para el controlador de dominio. Para obtener más información acerca de la diferencia máxima de tiempo, visite el siguiente sitio Web de Microsoft:
    http://technet.Microsoft.com/en-us/library/cc779260.aspx
Si ha comprobado todos estos pasos y todavía no se puede utilizar Kerberos, siga los pasos descritos en el siguiente artículo de Knowledge Base para recopilar más información para solucionar problemas del registro de sucesos de sistema: Para obtener más información, haga clic en el número de artículo siguiente para ver el artículo en Microsoft Knowledge Base:
262177Cómo habilitar el registro de sucesos de Kerberos

Referencias

Para obtener más información acerca de cómo configurar un servidor SQL Server 2000 Equipo de Analysis server para utilizar la autenticación Kerberos, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
828280Cómo configurar una instancia de SQL Server 2000 Analysis Services para utilizar la autenticación Kerberos
Para obtener más información acerca de la presentación de soporte técnico de TechNet para esto asunto, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
916962Soporte técnico de TechNet WebCast: Configurar Microsoft SQL Server 2005 Analysis Services para la autenticación de Kerberos
Si Microsoft SharePoint Portal Server está instalado en el equipo de nivel medio, el directorio virtual puede configurarse para permitir únicamente la autenticación NTLM. Para obtener más información acerca de cómo habilitar el directorio virtual para permitir a negociar la autenticación (Kerberos), haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
832769Cómo configurar un servidor virtual de Windows SharePoint Services para utilizar la autenticación Kerberos y cómo cambiar de la autenticación Kerberos a la autenticación NTLM

Propiedades

Id. de artículo: 917409 - Última revisión: jueves, 30 de mayo de 2013 - Versión: 8.0
La información de este artículo se refiere a:
  • Microsoft SQL Server 2008 Analysis Services
  • Microsoft SQL Server 2005 Analysis Services
Palabras clave: 
kbsqlsetup kbexpertiseadvanced kbsql2005as kbhowto kbmt KB917409 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 917409

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com