Como configurar o SQL Server 2008 Analysis Services e SQL Server 2005 Analysis Services para utilizar a autenticação Kerberos

Traduções de Artigos Traduções de Artigos
Artigo: 917409 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Quando é estabelecida uma ligação a um computador que está a ser executado Microsoft SQL Server 2008 Analysis Services ou Microsoft SQL Server 2005 Analysis Services e que a ligação envolve um cenário de autenticação de saltos duplos, tem de utilizar Kerberos como a autenticação protocolo. Por exemplo, num cenário de autenticação de saltos duplos, um cliente computador pode passar as credenciais de início de sessão a um computador que está a executar o Microsoft Serviços de informação Internet (IIS). O computador que está a executar o IIS deve, em seguida passe as credenciais de início de sessão para o servidor do Analysis Services. Os passos que o utilizador deve seguir diferem os passos para a análise do SQL Server 2000 Serviços.

INTRODUÇÃO

Este artigo descreve como configurar o SQL Server 2008 Analysis Services e SQL Server 2005 Serviços de análise a utilizar a autenticação Kerberos.

Mais Informação

Configurar um servidor do Analysis Services para utilizar o protocolo de autenticação Kerberos

Registar um nome de Principal de serviço (SPN) para os serviços de análise serviço no servidor do Analysis Services. Se o serviço de Analysis Services em execução no contexto de segurança da conta LocalSystem no SQL Server 2000, o SPN é criado automaticamente. No entanto, tem de criar manualmente a SPN no SQL Server 2008 e no SQL Server 2005 como criar o SPN no SQL Server 2000 quando o Serviço de serviços de análise está em execução no contexto de segurança de uma conta outros que a conta LocalSystem. Para criar o SPN, utilize o Setspn.exe utilitário no Microsoft Windows 2000 Resource Kit. Esta ferramenta também é incluída nas ferramentas de suporte do Windows Server 2003. As ferramentas de suporte do Windows Server 2003 estão incluídos no Windows Server 2003 Service Pack 1 (SP1).

Para transferir o utilitário Setspn exe no Windows 2000 Resource Kit, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&displaylang=en
Para mais informações sobre como transferir a ferramenta de Setspn.exe para Windows Server 2003, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
970536Actualização de ferramenta de suporte de Setspn.exe para Windows Server 2003
Depois de transferir o utilitário Setspn exe, siga estes passos.

Nota Tem de ser membro do grupo administradores de domínio para executar o comando Setspn . Se a instância do Analysis Services está agrupada, utilize o nome do Analysis Services virtual como o nome de domínio totalmente qualificado (FQDN).
  1. Para criar o SPN do servidor do Analysis Services que é em execução sob uma conta de domínio, execute os seguintes comandos numa linha de comandos:
    • MSOLAPSvc.3/ -S Setspn.exeFully_Qualified_domainName OLAP_Service_Startup_Account

      Nota Fully_Qualified_domainName é um marcador de posição para o FQDN.
    • MSOLAPSvc.3/ -S Setspn.exeserverHostName OLAP_Service_Startup_Account
  2. Se tem de criar o SPN do servidor do Analysis Services que é executado sob a conta LocalSystem, execute os seguintes comandos num linha de comandos:
    • MSOLAPSvc.3/ -S Setspn.exeFully_Qualified_domainName serverHostName
    • MSOLAPSvc.3/ -S Setspn.exeserverHostName serverHostName
  3. Para verificar se o SPN foi criado para a análise Serviços de servidor, execute os seguintes comandos numa linha de comandos.
    Setspn.exe -L OLAP_Service_Startup_Account 
    Setspn.exe -L serverHostName
    Se o SPN foi criado com êxito para o servidor do Analysis Services, os resultados deste comando aparecem normalmente no seguinte formato.
    MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName 
    MSOLAPSvc.3/serverHostName
Nota SQL Server 2005 Analysis Services pode funcionar como uma instância nomeada. Não é suportada no SQL Server 2000 Analysis Services. Se estiver a utilizar uma instância nomeada, aplicam os mesmos passos. No entanto, tem de configurar os seguintes formatos SPN. Ao contrário com o motor do SQL Server, é possível especificar uma porta após os dois pontos. Tem de utilizar o nome da instância real para todas as funcionalidades funcionem correctamente.
MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName:instanceName
MSOLAPSvc.3/serverHostName:instanceName

Configurar definições do Active Directory

Certifique-se de que todas as seguintes condições são verdadeiras para o Definições de serviço de directório de activas Directory:
  • O Conta é sensível e não pode ser delegada definição não estiver activada para contas de utilizador que será delegada.
  • O A conta é fidedigna para delegação definição está activada para a conta de domínio da camada intermédia que está a ligar ao Analysis Services. Por exemplo, se o IIS é a camada média e uma conta de domínio é utilizada para o agrupamento de aplicações, essa conta de domínio do conjunto aplicacional tem de ter o A conta é fidedigna para delegação definição activada.
  • O A conta é fidedigna para delegaçãodefinição estiver activada para as contas de todos os serviços e componentes COM+ que estejam envolvidas no processo.
  • O Computador é fidedigno para delegação definição está activada para todos os computadores que estejam envolvidos no processo.
Nota Tem todas as contas e servidores que estão envolvidos no processo pertencer ao mesmo domínio do Active Directory ou a domínios fidedignos da mesma floresta. Se tiver nativas florestas do Windows 2003 e pretender obter mais informações sobre como activar a delegação entre florestas, consulte a secção "Fidedignidades de floresta" o seguinte Web site da Microsoft:
http://technet2.microsoft.com/windowsserver/en/library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx?mfr=true

Configurar computadores cliente dos serviços de análise

Certifique-se de que as seguintes condições são verdadeiras sobre a análise Computadores de cliente de serviços:
  • Microsoft Internet Explorer 5.0 ou posterior é instalado.
  • Se o Internet Explorer 6 estiver instalado no computador, oActivar autenticação integrada do Windows (requer reinicialização)opção de segurança está activada.
  • Se os serviços de análise for uma instância nomeada, tem de criar o SPN de MSOLAPDisco.3 para o Browser de SQL. Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
    950599É necessário um SPN para o serviço de Browser de servidor SQL quando é estabelecida uma ligação a uma instância nomeada do SQL Server 2005 Analysis Services ou do SQL Server 2005
Nota O Activar autenticação integrada do Windows (requer reiniciar) opção encontra-se em Segurança sobre o Avançadas separador na Opções da Internet diálogo caixa. Poderá ter de reiniciar o computador para esta definição tenha efeito.

Configurar as definições no computador que está a executar o IIS

Certifique-se de que as seguintes condições são verdadeiras no computador que está executando o IIS num cenário de saltos duplos autenticação:
  • As seguintes definições são configuradas no IIS para a Web Web site ou para o directório virtual que foi criado para o cliente Web aplicação:
    • É o método de autenticação para a segurança de directório definir Autenticação integrada do Windows ou para Básico Autenticação.
    • Nível de protecção da aplicação é definido como Alta (Isolada).
  • São configuradas as seguintes definições de serviços de componentes para o Web site ou para o directório virtual que foi criado para o cliente Aplicação Web:
    • O nível de representação para os pacotes COM+ é definido como Delegado. Para mais informações sobre como definir um representação de nível, visite o seguinte Web site da Microsoft:
      http://msdn2.microsoft.com/en-us/library/ms681722.aspx
    • A identidade da aplicação para os pacotes COM+ está definida para uma conta de domínio do Windows onde o Conta é fidedigna para delegação definição está activada. Para mais informações sobre como definir uma identidade de aplicação, visite o seguinte Web site da Microsoft:
      http://msdn2.microsoft.com/en-us/library/ms681314.aspx
  • A cadeia de ligação que é utilizada pelo Analysis Services computador de cliente para ligar ao servidor do Analysis Services contém o SSPI = Kerberos parâmetro.
  • Na cadeia de ligação, tem de ser o nome da origem de dados o nome de domínio totalmente qualificado (FQDN) ou um nome NETBIOS. Por exemplo, pode ser o FQDNmyhost.meudomínio.com, e o nome NETBIOS pode ser myHostName. Se especificar um endereço IP numérico, a autenticação Kerberos é desactivado.
  • Um SPN para o computador que está a executar o IIS poderá ter de ser criado e registado. O SPN a ser criada depende o nome do computador ou o nome de anfitrião e a identidade de agrupamento de aplicações do IIS. Para mais informações sobre como criar um SPN para o computador que está a executar o IIS, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
    929650Como utilizar o SPN quando configurar aplicações Web que estão alojadas no IIS 6.0
    setspn -S http/IISComputerName IISComputerName
    Para registar manualmente um SPN para o computador que está a executar o IIS, siga os passos descritos nos "Configurar serviços de análise a utilizar o Kerberos secção de protocolo de autenticação".
  • Um fornecedor de autenticação Negotiate tem de ser activado no servidor de IIS para permitir a autenticação Kerberos. Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
    215383Como configurar o IIS para suportar o protocolo Kerberos e o protocolo NTLM para autenticação de rede
  • O relógio para o cliente de Kerberos e para o controlador de domínio têm de ser sincronizado, tanto quanto possível. Para mais informações sobre a diferença de tempo máximo, visite o seguinte Web site da Microsoft:
    http://technet.microsoft.com/en-us/library/cc779260.aspx
Se tiver verificado todos estes passos e ainda não consigo utilizar Kerberos, siga os passos no seguinte artigo da Base de dados de conhecimento para reunir mais informações de resolução de problemas de registo de eventos do sistema: Para mais informações, clique no número de artigo seguinte para Visualize o artigo na Microsoft Knowledge Base:
262177Como activar o registo de eventos de Kerberos

Referências

Para mais informações sobre como configurar um SQL Server 2000 Computador de servidor de análise para utilizar a autenticação Kerberos, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
828280Como configurar uma instância do SQL Server 2000 Analysis Services para utilizar a autenticação Kerberos
Para mais informações sobre o TechNet Support WebCast para este assunto, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
916962WebCast de suporte da TechNet: Configurar o Microsoft SQL Server 2005 Analysis Services para a autenticação Kerberos
Se o Microsoft SharePoint Portal Server estiver instalado no computador de camada, o directório virtual pode ser configurado para permitir apenas autenticação NTLM. Para mais informações sobre como activar o directório virtual permitir a negociar a autenticação (Kerberos), clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
832769Como configurar um servidor virtual do Windows SharePoint Services para utilizar a autenticação Kerberos e como mudar da autenticação Kerberos novamente para a autenticação NTLM

Propriedades

Artigo: 917409 - Última revisão: 30 de maio de 2013 - Revisão: 8.0
A informação contida neste artigo aplica-se a:
  • Microsoft SQL Server 2008 Analysis Services
  • Microsoft SQL Server 2005 Analysis Services
Palavras-chave: 
kbsqlsetup kbexpertiseadvanced kbsql2005as kbhowto kbmt KB917409 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 917409

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com