Comment faire pour configurer SQL Server 2008 Analysis Services et SQL Server 2005 Analysis Services pour utiliser l'authentification Kerberos

Traductions disponibles Traductions disponibles
Numéro d'article: 917409 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Lorsqu'il est connecté à un ordinateur qui exécute Microsoft SQL Server 2008 Analysis Services ou Microsoft SQL Server 2005 Analysis Services et que la connexion implique un scénario d'authentification à deux bonds, vous devez utiliser Kerberos comme authentification protocole. Par exemple, dans un scénario d'authentification à deux bonds, un client ordinateur peut transmettre les informations d'identification d'ouverture de session à un ordinateur qui exécute Microsoft Internet Information Services (IIS). L'ordinateur qui exécute IIS doit ensuite passer les informations d'identification d'ouverture de session au serveur Analysis Services. Les étapes que vous avez doit suivre diffèrent des étapes pour SQL Server 2000 analyse Services.

INTRODUCTION

Cet article explique comment configurer SQL Server 2008 Analysis Services et SQL Server 2005 Analysis Services pour utiliser l'authentification Kerberos.

Plus d'informations

Configurer un serveur Analysis Services pour utiliser le protocole d'authentification Kerberos

Enregistrer un nom Principal de Service (SPN) pour Analysis Services service sur le serveur Analysis Services. Si le service Analysis Services est en cours d'exécution dans le contexte de sécurité du compte LocalSystem dans SQL Server 2000, le SPN est créé automatiquement. Toutefois, vous devez créer manuellement le SPN dans SQL Server 2008 et SQL Server 2005 que vous créez le SPN dans SQL Server 2000 lors de la Service Analysis Services s'exécute sous le contexte de sécurité d'un compte autres que le compte LocalSystem. Pour créer le SPN, utilisez le Setspn.exe utilitaire dans le Kit de ressources techniques Windows 2000. Cet outil est également inclus dans les outils de Support Windows Server 2003. Les Windows Server 2003 Support Tools sont inclus dans Windows Server 2003 Service Pack 1 (SP1).

Pour télécharger l'utilitaire Setspn du Kit de ressources techniques Windows 2000, consultez le Site Web de Microsoft :
http://www.Microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&displaylang=en
Pour plus d'informations sur la façon de télécharger l'outil Setspn.exe pour Windows Server 2003, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
970536Mise à jour d'outil de support Setspn.exe pour Windows Server 2003
Après avoir téléchargé l'utilitaire Setspn, procédez comme étapes.

Remarque : Vous devez être membre du groupe Administrateurs de domaine pour exécuter la commande Setspn . Si l'instance de Analysis Services est en clusters, utilisez le nom virtuel de Analysis Services comme nom de domaine pleinement qualifié (FQDN).
  1. Pour créer le SPN pour le serveur Analysis Services est en cours d'exécution sous un compte de domaine, exécutez les commandes suivantes à une invite de commande :
    • Setspn.exe -S MSOLAPSvc.3/Fully_Qualified_domainName OLAP_Service_Startup_Account

      Remarque Fully_Qualified_domainName est un espace réservé pour le nom de domaine complet.
    • Setspn.exe -S MSOLAPSvc.3/serverHostName OLAP_Service_Startup_Account
  2. Si vous devez créer le SPN pour le serveur Analysis Services qui s'exécute sous le compte LocalSystem, exécutez les commandes suivantes à une invite de commandes :
    • Setspn.exe -S MSOLAPSvc.3/Fully_Qualified_domainName serverHostName
    • Setspn.exe -S MSOLAPSvc.3/serverHostName serverHostName
  3. Pour vérifier si le nom principal de service a été créé pour l'analyse Services serveur, exécutez les commandes suivantes à une invite de commande.
    Setspn.exe -L OLAP_Service_Startup_Account 
    Setspn.exe -L serverHostName
    Si le nom principal de service a été créé pour le serveur Analysis Services les résultats de cette commande s'affichent généralement sous la forme suivante.
    MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName 
    MSOLAPSvc.3/serverHostName
Remarque : SQL Server 2005 Analysis Services peut fonctionner comme une instance nommée. Cela n'est pas pris en charge dans SQL Server 2000 Analysis Services. Si vous utilisez une instance nommée, les mêmes étapes s'appliquent. Toutefois, vous devez configurer les formats de nom principal de service suivants. À la différence avec le moteur de SQL Server, vous ne pouvez spécifier un port après le signe deux-points. Vous devez utiliser le nom de l'instance réelle pour toutes les fonctionnalités pour fonctionner correctement.
MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName:instanceName
MSOLAPSvc.3/serverHostName:instanceName

Configurer les paramètres Active Directory

Assurez-vous que toutes les conditions suivantes sont remplies pour le Paramètres service d'annuaire actives Directory :
  • Le Compte est sensible et ne peut pas être déléguée n'est pas activé pour les comptes d'utilisateurs qui seront la délégation.
  • Le Le compte est approuvé pour la délégation paramètre est activé pour le compte de domaine de la couche intermédiaire qui se connecte à Analysis Services. Par exemple, si IIS est la couche intermédiaire et un compte de domaine est utilisé pour le pool d'applications, ce compte de domaine d'application pool doit avoir la Le compte est approuvé pour la délégation paramètre est activé.
  • Le Le compte est approuvé pour la délégationparamètre est activé pour les comptes de tous les services et les composants COM + qui sont impliqués dans le processus.
  • Le Approuver l'ordinateur pour la délégation paramètre est activé pour tous les ordinateurs impliqués dans le processus.
Remarque : Tous les comptes et les serveurs impliqués dans le processus doit appartiennent au même domaine Active Directory ou à des domaines approuvés de la même forêt. Si vous avez des forêts Windows 2003 natifs et que vous souhaitez plus d'informations Comment faire activer la délégation entre forêts, consultez la section « Approbations de forêt » de le site Web Microsoft suivant :
http://technet2.Microsoft.com/WindowsServer/en/Library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx?mfr=true

Configurer les ordinateurs clients de Analysis Services

Assurez-vous que les conditions suivantes sont remplies sur l'analyse Ordinateurs clients des services :
  • Microsoft Internet Explorer 5.0 ou version ultérieure est installé.
  • Si Internet Explorer 6 est installé sur l'ordinateur, leActiver l'authentification Windows intégrée (redémarrage nécessaire)option de sécurité est activée.
  • Si Analysis Services est une instance nommée, vous devez créer le SPN MSOLAPDisco.3 SQL du navigateur. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    950599Un SPN pour le service Explorateur de SQL Server est requis lorsque vous établissez une connexion à une instance nommée de SQL Server 2005 Analysis Services ou de SQL Server 2005
Remarque : Le Activer l'authentification Windows intégrée (nécessite redémarrer) option se trouve sous Sécurité sur la Avancée onglet dans la Options Internet boîte de dialogue zone. Vous devrez peut-être redémarrer l'ordinateur pour que ce paramètre prenne effet.

Configurer les paramètres sur l'ordinateur qui exécute IIS

Assurez-vous que les conditions suivantes sont remplies sur l'ordinateur qui exécute IIS dans un scénario d'authentification à deux bonds :
  • Les paramètres suivants sont configurés dans IIS pour le Web pour le répertoire virtuel qui a été créé pour le client Web ou de site application :
    • La méthode d'authentification pour la sécurité du répertoire est la valeur Authentification Windows intégrée ou à Base Authentification.
    • Le niveau de protection d'application a la valeur Haute (Isolé).
  • Les paramètres de Services de composants suivants sont configurés pour le site Web ou du répertoire virtuel qui a été créé pour le client Application Web :
    • Le niveau d'emprunt d'identité pour les packages COM + est défini sur Délégué. Pour plus d'informations sur la façon de définir un l'emprunt d'identité de niveau, visitez le site Web de Microsoft à l'adresse suivante :
      http://msdn2.Microsoft.com/en-us/library/ms681722.aspx
    • La valeur de l'identité de l'application pour les packages COM + un compte de domaine Windows dans lequel le Le compte est approuvé pour délégation paramètre est activé. Pour plus d'informations sur la définition une identité d'application, visitez le site Web de Microsoft à l'adresse suivante :
      http://msdn2.Microsoft.com/en-us/library/ms681314.aspx
  • La chaîne de connexion utilisée par Analysis Services ordinateur client pour se connecter au serveur Analysis Services contient les SSPI = Kerberos paramètre.
  • Dans la chaîne de connexion, le nom de source de données doit être le nom de domaine pleinement qualifié (FQDN) ou un nom NETBIOS. Par exemple, le nom de domaine complet peut êtremyhost.mondomaine.com, et le nom NETBIOS peut être Mon nom d'hôte. Si vous spécifiez un adresse IP numérique, l'authentification Kerberos est désactivé.
  • Un SPN pour l'ordinateur qui exécute IIS peut être nécessaire créés et enregistrés. Le SPN à créer dépend du nom de l'ordinateur ou le nom d'hôte et l'identité du pool d'applications IIS. Pour plus d'informations sur la façon de créer un SPN pour l'ordinateur qui exécute IIS, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    929650Comment utiliser SPN lorsque vous configurer les applications Web hébergées sur IIS 6.0
    setspn -S http/IISComputerName IISComputerName
    Pour enregistrer manuellement un SPN pour l'ordinateur qui exécute IIS, procédez comme les étapes décrites dans « configurer Analysis Services pour utiliser Kerberos section du protocole d'authentification".
  • Un fournisseur d'authentification Negotiate doit être activé sur le serveur IIS pour permettre l'authentification Kerberos. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    215383Comment faire pour configurer IIS pour prendre en charge le protocole Kerberos et le protocole NTLM pour l'authentification réseau
  • Autant que possible, vous devez synchroniser l'horloge pour le client Kerberos et du contrôleur de domaine. Pour plus d'informations sur la différence de temps maximal, visitez le site Web de Microsoft à l'adresse suivante :
    http://technet.Microsoft.com/en-us/library/cc779260.aspx
Si vous avez vérifié toutes ces étapes et que vous ne pouvez pas utiliser Kerberos, suivez les étapes de l'article suivant de la Base de connaissances pour rassembler plus d'informations sur la résolution des problèmes du journal des événements système : Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
262177Comment faire pour activer l'enregistrement d'événements Kerberos

Références

Pour plus d'informations sur la configuration de 2000 SQL Server Serveur d'analyse sur utiliser l'authentification Kerberos, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
828280Comment faire pour configurer une instance de SQL Server 2000 Analysis Services pour utiliser l'authentification Kerberos
Pour plus d'informations sur le Support technique pour ce objet, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
916962WebCast de support technique TechNet : Configuration Microsoft SQL Server 2005 Analysis Services pour l'authentification Kerberos
Si Microsoft SharePoint Portal Server est installé sur l'ordinateur de couche intermédiaire, le répertoire virtuel peut être configuré pour autoriser uniquement l'authentification NTLM. Pour plus d'informations sur la façon d'activer le répertoire virtuel permettre à négocier l'authentification (Kerberos), cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
832769Comment faire pour configurer un serveur virtuel Windows SharePoint Services pour utiliser l'authentification Kerberos et passage de l'authentification Kerberos à l'authentification NTLM

Propriétés

Numéro d'article: 917409 - Dernière mise à jour: dimanche 4 novembre 2012 - Version: 9.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft SQL Server 2008 Analysis Services
  • Microsoft SQL Server 2005 Analysis Services
Mots-clés : 
kbsqlsetup kbexpertiseadvanced kbsql2005as kbhowto kbmt KB917409 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 917409
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com