Настройка служб аналитики SQL Server 2008 и SQL Server 2005 Analysis Services для использования проверки подлинности Kerberos

Переводы статьи Переводы статьи
Код статьи: 917409 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

При подключении к компьютеру под управлением Службы аналитики Microsoft SQL Server 2008 или Microsoft SQL Server 2005 Analysis Services и что подключение происходит сценарии проверки подлинности двойного прыжка, необходимо использовать Kerberos, проверка подлинности протокол. Например в случае двойного прыжка проверки подлинности клиента компьютер может передавать учетные данные для входа на компьютер под управлением Microsoft Информационные службы Интернета (IIS). Затем необходимо компьютер под управлением служб IIS Передайте учетные данные для входа на сервер служб Analysis Services. Действия, которые необходимо выполните отличается от действия для SQL Server 2000 Analysis Службы.

ВВЕДЕНИЕ

В данной статье описывается настройка служб аналитики SQL Server 2008 и SQL Server 2005 Службы Analysis Services для использования проверки подлинности Kerberos.

Дополнительная информация

Настройка сервера служб Analysis Services для использования протокола проверки подлинности Kerberos

Регистрация имени участника-службы (SPN) для служб аналитики Служба на сервере служб Analysis Services. Если службы Analysis Services Запуск в контексте безопасности учетной записи «Локальный компьютер» в SQL Server. 2000, имя SPN создается автоматически. Тем не менее, необходимо создать вручную Имя участника-службы в SQL Server 2008 и SQL Server 2005, как при создании имени участника службы SQL Server 2000 при Службы Analysis Services, выполняется в контексте безопасности учетной записи Кроме учетной записи LocalSystem. Чтобы создать SPN, используйте Setspn.exe Программа в Microsoft Windows 2000 Resource Kit. Это средство также входит в состав средств поддержки Windows Server 2003. Средства поддержки Windows Server 2003 включенные в Пакет обновления 1 (SP1) для Windows Server 2003.

Для загрузки служебную программу Setspn в Windows 2000 Resource Kit, посетите Веб-узел Майкрософт:
http://www.Microsoft.com/downloads/details.aspx?FamilyId=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&displaylang=en
Дополнительные сведения о загрузке с помощью программы Setspn.exe для Windows Server 2003 щелкните следующий номер статьи базы знаний Майкрософт:
970536Обновление средства Setspn.exe поддержки для Windows Server 2003
После загрузки программы Setspn, выполните следующие Пошаговое руководство.

Примечание Необходимо быть членом группы администраторов домена для запуска команду Setspn . Если экземпляр служб Analysis Services является кластеризованным, используйте имя виртуального служб Analysis Services как полное доменное имя (FQDN).
  1. Чтобы создать SPN для сервера служб Analysis Services выполняется под учетной записью домена, выполните следующие команды в командной строке:
    • MSOLAPSvc.3/ -S Setspn.exeFully_Qualified_domainName OLAP_Service_Startup_Account

      Примечание Fully_Qualified_domainName — это полное доменное имя.
    • MSOLAPSvc.3/ -S Setspn.exeserverHostName OLAP_Service_Startup_Account
  2. Если необходимо создать имя участника-службы для сервера служб Analysis Services на котором выполняется под учетной записью LocalSystem, выполните следующие команды в Командная строка:
    • MSOLAPSvc.3/ -S Setspn.exeFully_Qualified_domainName serverHostName
    • MSOLAPSvc.3/ -S Setspn.exeserverHostName serverHostName
  3. Чтобы проверить, был ли создан SPN для анализа Службы сервера, выполните следующие команды в командной строке.
    Setspn.exe -L OLAP_Service_Startup_Account 
    Setspn.exe -L serverHostName
    Если имя SPN был успешно создан на сервере служб Analysis Services результаты этой команды обычно отображаются в следующем формате.
    MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName 
    MSOLAPSvc.3/serverHostName
Примечание SQL Server 2005 Analysis Services могут работать в качестве именованного экземпляра. Не поддерживается в SQL Server 2000 Analysis Services. Если используется именованный экземпляр, применяются те же действия. Тем не менее необходимо настроить следующие форматы имени участника-службы. В отличие от с ядром SQL Server нельзя указать порт после двоеточия. Для правильной работы необходимо использовать фактического имени экземпляра для всех функций.
MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName:instanceName
MSOLAPSvc.3/serverHostName:instanceName

Настройка параметров службы каталогов Active Directory

Убедитесь, что все следующие условия выполняются для Параметрами службы каталогов Active Directory:
  • В Учетная запись важна и не может быть Делегирование не включен для учетных записей пользователей, которые будут делегирование.
  • В Учетная запись доверена для делегирования она включена учетная запись домена среднего уровня, подключение к службам Analysis Services. Например, если учетная запись домена используется для пула приложений IIS находится на среднем уровне, что домен учетной записи пула приложений должен иметь Учетная запись доверена для делегирования После включения параметра.
  • В Учетная запись доверена для делегированияПолитика учетных записей всех служб и компонентов COM +, участвуют в процессе.
  • В Доверять компьютеру делегирование параметр включено для всех компьютеров, участвующих в процессе.
Примечание Все учетные записи и серверов, участвующих в процессе необходимо принадлежат к одному домену Active Directory или в доверенных доменах, в том же лес. Если у вас есть собственный леса Windows 2003 и для получения дополнительных сведений о том, как включить делегирование между лесами, обратитесь к разделу «Доверия лесов» следующий веб-узел корпорации Майкрософт:
http://technet2.Microsoft.com/WindowsServer/en/Library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx?mfr=true

Настроить клиентские компьютеры служб Analysis Services

Убедитесь, что выполняются следующие условия для анализа Клиентские компьютеры служб:
  • Является Microsoft Internet Explorer 5.0 или более поздней версии установлен.
  • Если на компьютере установлен обозреватель Internet Explorer 6Включение встроенной проверки подлинности Windows (требуется перезапуск)параметр безопасности включен.
  • Если именованный экземпляр служб Analysis Services, необходимо создать MSOLAPDisco.3 SPN для обозревателя SQL. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
    950599Имя SPN для службы обозревателя SQL Server является обязательным, если необходимо установить подключение к именованному экземпляру SQL Server 2005 или SQL Server 2005 Analysis Services
Примечание В Включение встроенной проверки подлинности Windows (требуется перезапуск) параметр расположен в разделе Безопасность на Дополнительно в закладке Параметры Интернета диалоговое окно поле. Может потребоваться перезагрузить компьютер для этого параметра вступили в силу.

Настройте параметры на компьютере под управлением служб IIS

Убедитесь, что выполняются следующие условия на компьютере под управлением IIS в сценарии проверки подлинности двойного прыжка:
  • Следующие параметры настраиваются в службах IIS для веб-страниц веб-узла или виртуального каталога, созданного для клиента Web приложение:
    • Метод проверки подлинности для безопасности каталога значение Встроенная проверка подлинности Windows или Основные Проверка подлинности.
    • Уровень защиты приложения имеет значение Высокий (Изолированный).
  • Настраиваются следующие параметры служб компонентов для веб-узла или виртуального каталога, созданного для клиента Веб-приложения:
    • Установлен уровень олицетворения для установленных приложений COM + Делегат. Дополнительные сведения об установке олицетворение на уровне, посетите следующий веб-узел корпорации Майкрософт:
      http://msdn2.Microsoft.com/en-us/library/ms681722.aspx
    • Имеет значение удостоверения приложения COM + пакетов для учетной записи домена Windows где Учетная запись доверена для Делегирование параметр включен. Дополнительные сведения об установке удостоверение приложения, посетите следующий веб-узел корпорации Майкрософт:
      http://msdn2.Microsoft.com/en-us/library/ms681314.aspx
  • Строка подключения, используемые службами Analysis Services клиентский компьютер для подключения к серверу служб Analysis Services содержит SSPI = Kerberos параметр.
  • В строке соединения должно быть имя источника данных полное доменное имя (FQDN) или NetBIOS-имя. Например, может быть полное доменное имяmyhost.mydomain.com и Возможно, имя NETBIOS myHostName. Если указать числовые IP-адреса, проверка подлинности Kerberos будет отключена.
  • Имя SPN для компьютера, на котором выполняется IIS может потребоваться создания и регистрации. Имя участника-службы для создания зависит от имени компьютера или имени узла и удостоверения пула приложений IIS. Дополнительные сведения о способах создания имени SPN для компьютера, на котором выполняется IIS щелкните следующий номер статьи базы знаний Майкрософт:
    929650Как использовать имена участников-служб при настройке веб-приложений, размещенных в IIS 6.0
    setspn -S http/IISComputerName IISComputerName
    Чтобы вручную зарегистрировать имя SPN для компьютера, на котором выполняется IIS, выполните действия, описанные в "Настройка служб аналитики для использования Kerberos раздел протокол проверки подлинности».
  • Для проверки подлинности Kerberos на сервере IIS необходимо включить поставщик проверки подлинности Negotiate. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
    215383Настройка служб IIS для поддержки протокола Kerberos и протокол NTLM для проверки подлинности в сети
  • Часы для клиента Kerberos и контроллера домена должны быть синхронизированы, максимально близкое. Дополнительные сведения о максимальной разницы времени посетите следующий веб-узел корпорации Майкрософт:
    http://TechNet.Microsoft.com/en-us/library/cc779260.aspx
Если вы проверили все шаги и нельзя использовать Kerberos, выполните действия, описанные в следующей статье базы знаний Майкрософт для сбора Дополнительные сведения об устранении неполадок в журнале системных событий: Для получения дополнительных сведений щелкните следующий номер статьи следующей статье Microsoft Knowledge Base:
262177Включение регистрации событий Kerberos

Ссылки

Дополнительные сведения о настройке SQL Server 2000 Сервер анализа для использования проверки подлинности Kerberos, щелкните следующий номер статьи базы знаний Майкрософт:
828280Как настроить экземпляр служб SQL Server 2000 Analysis Services для использования проверки подлинности Kerberos
Дополнительные сведения о поддержке веб-трансляция TechNet для этого Тема, щелкните следующий номер статьи базы знаний Майкрософт:
916962Веб-трансляция технической поддержки TechNet: Настройка Microsoft SQL Server 2005 Analysis Services для проверки подлинности Kerberos
Если Microsoft SharePoint Portal Server установлен на компьютере среднего уровня, виртуальный каталог может быть настроена таким образом, чтобы разрешить проверку подлинности NTLM. Дополнительные сведения о том, как включить виртуальный каталог разрешить согласование проверки подлинности (Kerberos), щелкните следующий номер статьи базы знаний Майкрософт:
832769Настройка виртуального сервера Windows SharePoint Services для использования проверки подлинности Kerberos и как переключиться с проверки подлинности Kerberos на проверку подлинности NTLM

Свойства

Код статьи: 917409 - Последний отзыв: 30 мая 2013 г. - Revision: 5.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft SQL Server 2008 Analysis Services
  • Microsoft SQL Server 2005 Analysis Services
Ключевые слова: 
kbsqlsetup kbexpertiseadvanced kbsql2005as kbhowto kbmt KB917409 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке: 917409

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com