Como configurar o SQL Server 2008 Analysis Services e SQL Server 2005 Analysis Services para usar a autenticação Kerberos

Traduções deste artigo Traduções deste artigo
ID do artigo: 917409 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Quando uma conexão é feita em um computador que esteja executando o Microsoft SQL Server 2008 Analysis Services ou Microsoft SQL Server 2005 Analysis Services e que envolve a conexão de um cenário de autenticação de salto duplo, você deve usar o Kerberos como a autenticação protocolo. Por exemplo, em um cenário de autenticação de salto duplo, um cliente computador pode passar as credenciais de logon para um computador que esteja executando o Microsoft Internet Information Services (IIS). O computador que está executando o IIS, em seguida, deve passe as credenciais de logon para o servidor Analysis Services. As etapas que você Siga deve diferir as etapas para análise do SQL Server 2000 Serviços.

INTRODUÇÃO

Este artigo descreve como configurar o SQL Server 2008 Analysis Services e SQL Server 2005 Analysis Services para usar a autenticação Kerberos.

Mais Informações

Configurar um servidor de Analysis Services para usar o protocolo de autenticação Kerberos

Registrar um nome Principal de serviço (SPN) para o Analysis Services serviço de servidor do Analysis Services. Se o serviço Analysis Services executando no contexto de segurança da conta LocalSystem no SQL Server 2000, o SPN será criado automaticamente. No entanto, você deve criar manualmente a SPN no SQL Server 2008 e no SQL Server 2005 como criar o SPN no SQL Server 2000 quando o Serviço Analysis Services está sendo executado no contexto de segurança de uma conta diferente da conta LocalSystem. Para criar o SPN, use o Setspn.exe utilitário do Microsoft Windows 2000 Resource Kit. Essa ferramenta também está incluída em ferramentas de suporte do Windows Server 2003. As ferramentas de suporte do Windows Server 2003 estão incluídos no Windows Server 2003 Service Pack 1 (SP1).

Para fazer o download o utilitário Setspn no Windows 2000 Resource Kit, visite o seguinte Site da Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyId=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&displaylang=en
Para obter mais informações sobre como baixar a ferramenta Setspn.exe para o Windows Server 2003, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
970536Setspn.exe suporte a ferramenta Atualização do Windows Server 2003
Depois de baixar o utilitário Setspn, siga estas etapas.

Observação Você deve ser um membro do grupo Administradores de domínio para executar o comando Setspn . Se a instância do Analysis Services está em cluster, use o nome virtual do Analysis Services como o nome de domínio totalmente qualificado (FQDN).
  1. Para criar o SPN para o servidor Analysis Services executando sob uma conta de domínio, execute os seguintes comandos no prompt de comando:
    • Setspn.exe -S MSOLAPSvc.3/Fully_Qualified_domainName OLAP_Service_Startup_Account

      Observação Fully_Qualified_domainName é um espaço reservado para o FQDN.
    • Setspn.exe -S MSOLAPSvc.3/serverHostName OLAP_Service_Startup_Account
  2. Se você deve criar o SPN para o servidor Analysis Services que está sendo executado sob a conta LocalSystem, execute os seguintes comandos em um prompt de comando:
    • Setspn.exe -S MSOLAPSvc.3/Fully_Qualified_domainName serverHostName
    • Setspn.exe -S MSOLAPSvc.3/serverHostName serverHostName
  3. Para verificar se o SPN foi criado para a análise Os serviços de servidor, execute os seguintes comandos no prompt de comando.
    Setspn.exe -L OLAP_Service_Startup_Account 
    Setspn.exe -L serverHostName
    Se o SPN foi criado com êxito para o servidor do Analysis Services os resultados deste comando normalmente aparecem no seguinte formato.
    MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName 
    MSOLAPSvc.3/serverHostName
Observação SQL Server 2005 Analysis Services pode operar como uma instância nomeada. Isso não é suportado no SQL Server 2000 Analysis Services. Se você estiver usando uma instância nomeada, aplicam as mesmas etapas. No entanto, você deve configurar os seguintes formatos SPN. Ao contrário com o mecanismo do SQL Server, você não pode especificar uma porta após a vírgula. Você deve usar o nome de instância real para todas as funcionalidades para funcionar corretamente.
MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName:instanceName
MSOLAPSvc.3/serverHostName:instanceName

Definir as configurações do Active Directory

Certifique-se de que todas as seguintes condições são verdadeiras para o Configurações do Active Directory directory service:
  • O Conta é sigilosa e não pode ser delegada configuração não está habilitada para contas de usuário que será delegada.
  • O A conta é confiável para delegação configuração é habilitada para a conta de domínio de camada intermediária que está se conectando ao Analysis Services. Por exemplo, se o IIS é a camada intermediária e uma conta de domínio é usada para o pool de aplicativos, essa conta de domínio do pool de aplicativos deve ter o A conta é confiável para delegação configuração habilitada.
  • O A conta é confiável para delegaçãoconfiguração é habilitada para as contas de todos os serviços e componentes COM + que estão envolvidos no processo.
  • O Confiar no computador para delegação configuração está habilitado para todos os computadores envolvidos no processo.
Observação Todas as contas e os servidores envolvidos no processo devem pertencem ao mesmo domínio do Active Directory ou a domínios confiáveis na mesma floresta. Se você tiver nativas florestas do Windows 2003 e quiser obter mais informações sobre como ativar a delegação entre florestas, consulte a seção "Relações de confiança de floresta" o seguinte site da Web Microsoft:
http://technet2.microsoft.com/WindowsServer/en/Library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx?mfr=true

Configurar computadores cliente de serviços de análise

Certifique-se de que as seguintes condições forem verdadeiras na análise Computadores de cliente de serviços:
  • Microsoft Internet Explorer 5.0 ou posterior é instalado.
  • Se o Internet Explorer 6 é instalado no computador, oAtivar autenticação integrada do Windows (requer reinicialização)opção de segurança está ativada.
  • Se uma instância nomeada do Analysis Services, você deve criar o SPN MSOLAPDisco.3 para o navegador do SQL. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    950599Um SPN para o serviço navegador do SQL Server é necessário quando você estabelece uma conexão com uma instância nomeada do SQL Server 2005 Analysis Services ou do SQL Server 2005
Observação O Ativar autenticação integrada do Windows (requer reiniciar) opção está localizada em Segurança sobre o Avançado Guia de Opções da Internet diálogo caixa. Você terá que reiniciar o computador para que essa configuração tenha efeito.

Definir as configurações no computador que está executando o IIS

Certifique-se de que as seguintes condições forem verdadeiras no computador que está executando o IIS em um cenário de autenticação de salto duplo:
  • São definidas as seguintes configurações no IIS para a Web o site ou diretório virtual que foi criado para o cliente da Web aplicativo:
    • É o método de autenticação para a segurança de diretório Definir como Autenticação integrada do Windows ou para Básico Autenticação.
    • O nível de proteção do aplicativo é definido como Alta (Isolado).
  • São definidas as seguintes configurações de serviços de componentes para o site ou para o diretório virtual que foi criado para o cliente Aplicativo da Web:
    • O nível de representação para os pacotes COM + é definido como Delegado. Para obter mais informações sobre como definir um representação de nível, visite o seguinte site da Microsoft:
      http://msdn2.microsoft.com/en-us/library/ms681722.aspx
    • A identidade do aplicativo para os pacotes COM + é definida para uma conta de domínio do Windows onde o A conta é confiável para delegação configuração é habilitada. Para obter mais informações sobre como definir uma identidade de aplicativo, visite o seguinte site da Microsoft:
      http://msdn2.microsoft.com/en-us/library/ms681314.aspx
  • A seqüência de conexão é usada pelo Analysis Services computador cliente para se conectar ao servidor do Analysis Services contém o SSPI = Kerberos parâmetro.
  • Na seqüência de conexão, o nome de fonte de dados deve ser o nome de domínio totalmente qualificado (FQDN) ou um nome NETBIOS. Por exemplo, o FQDN pode sermyhost.MyDomain.com, e o nome NETBIOS pode ser myHostName. Se você especificar um endereço IP numérico, a autenticação Kerberos está desabilitado.
  • Um SPN para o computador que está executando o IIS talvez tenha que ser criado e registrado. O SPN a ser criado depende do nome do computador ou o nome do host e a identidade de pool de aplicativos do IIS. Para obter mais informações sobre como criar um SPN para o computador que está executando o IIS, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    929650Como usar SPNs quando você configurar aplicativos da Web que são hospedados no IIS 6.0
    setspn -S http/IISComputerName IISComputerName
    Para registrar manualmente um SPN para o computador que está executando o IIS, execute as etapas em "Configurar Analysis Services para usar o Kerberos seção de protocolo de autenticação".
  • Um provedor de autenticação de negociação deve ser habilitado no servidor IIS para permitir a autenticação Kerberos. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    215383Como configurar o IIS para suportar o protocolo Kerberos e o protocolo NTLM para autenticação de rede
  • O relógio para o cliente Kerberos e o controlador de domínio deve ser sincronizado mais fielmente possível. Para obter mais informações sobre a diferença de tempo máximo, visite o seguinte site da Microsoft:
    http://technet.microsoft.com/en-us/library/cc779260.aspx
Se você tiver verificado todas essas etapas e ainda não consigo usar Kerberos, siga as etapas no seguinte artigo da Base de conhecimento para reunir mais informações para solução de problemas do log de eventos do sistema: Para obter mais informações, clique no número de artigo que se segue para ler o artigo na Base de dados de Conhecimento da Microsoft:
262177Como ativar o log de evento Kerberos

Referências

Para obter mais informações sobre como configurar um 2000 do SQL Server Computador do servidor de análise para usar a autenticação Kerberos, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
828280Como configurar uma instância do SQL Server 2000 Analysis Services para usar a autenticação Kerberos
Para obter mais informações sobre o WebCast de suporte do TechNet para isso assunto, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
916962WebCast de suporte do TechNet: Configurando o Microsoft SQL Server 2005 Analysis Services para a autenticação Kerberos
Se o Microsoft SharePoint Portal Server estiver instalado no computador de camada intermediária, o diretório virtual pode ser configurado para permitir somente a autenticação NTLM. Para obter mais informações sobre como habilitar o diretório virtual permitir negociar a autenticação (Kerberos), clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
832769Como configurar um servidor virtual do Windows SharePoint Services para usar a autenticação Kerberos e como alternar entre a autenticação Kerberos e a autenticação NTLM

Propriedades

ID do artigo: 917409 - Última revisão: quinta-feira, 30 de maio de 2013 - Revisão: 8.0
A informação contida neste artigo aplica-se a:
  • Microsoft SQL Server 2008 Analysis Services
  • Microsoft SQL Server 2005 Analysis Services
Palavras-chave: 
kbsqlsetup kbexpertiseadvanced kbsql2005as kbhowto kbmt KB917409 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.
Clique aqui para ver a versão em Inglês deste artigo: 917409

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com