如何配置 SQL Server 2008 Analysis Services 和 SQL 服务器 2005 Analysis Services 使用 Kerberos 身份验证

文章翻译 文章翻译
文章编号: 917409 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

当建立与运行的计算机的连接Microsoft SQL Server 2008 Analysis Services 或 Microsoft SQL Server 2005 Analysis Services 和连接涉及双跃点身份验证方案中,您必须使用 Kerberos 身份验证作为协议。例如,在双跃点身份验证方案中,客户端计算机可能会将登录凭据传递给一台计算机正在运行 MicrosoftInternet Information Services (IIS)。然后,运行 IIS 的计算机必须将登录凭据传递到 Analysis Services 的服务器。这些步骤,您必须按照不同于步骤的 SQL Server 2000年分析服务。

简介

本文介绍了如何配置 SQL Server 2008 Analysis Services 和 SQL Server 2005Analysis Services 使用 Kerberos 身份验证。

更多信息

Analysis Services 服务器配置为使用 Kerberos 身份验证协议

记录 Analysis Services 的服务主体名称 (SPN)Analysis Services 服务器上的服务。如果在 Analysis Services 服务在 SQL Server 中的本地系统帐户的安全上下文下运行2000 中,将自动创建 SPN。但是,您必须手动创建在 SQL Server 2008年中,正如您在 SQL Server 2000年中创建 SPN 的 SQL Server 2005 中的 SPN 时Analysis Services 服务运行的帐户的安全上下文其它非本地系统帐户。若要创建 SPN,请使用 Setspn.exe在 Microsoft Windows 2000 资源工具包中的实用程序。此工具还将包括在 Windows Server 2003 的支持工具。Windows Server 2003 支持工具包含在 Windows 2003 Service Pack 1 (SP1)。

若要下载Setspn 实用程序在 Windows 2000 资源工具包,请访问以下Microsoft Web 站点:
http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en
有关如何为 Windows Server 2003 中下载的 Setspn.exe 工具的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
970536对于 Windows Server 2003 的 Setspn.exe 支持工具更新
您下载的 Setspn 实用程序后,请按照这些步骤。

注意您必须是运行域管理员组的成员Setspn命令。如果 Analysis Services 的实例聚集索引,则使用 Analysis Services 虚拟名称为完全限定的域名 (FQDN)。
  1. 若要创建 SPN 的 Analysis Services 服务器域帐户下运行,请在命令提示符下运行下面的命令:
    • Setspn.exe-S MSOLAPSvc.3/Fully_Qualified_domainName OLAP_Service_Startup_Account

      注意Fully_Qualified_domainName 是一个占位符,用于 FQDN。
    • Setspn.exe-S MSOLAPSvc.3/serverHostName OLAP_Service_Startup_Account
  2. 如果必须创建的 SPN Analysis Services 服务器运行下面的命令,在本地系统帐户下运行,命令提示符:
    • Setspn.exe-S MSOLAPSvc.3/Fully_Qualified_domainName serverHostName
    • Setspn.exe-S MSOLAPSvc.3/serverHostName serverHostName
  3. 若要验证是否已为分析创建 SPN服务服务器上,在命令提示符下运行下面的命令。
    Setspn.exe -L OLAP_Service_Startup_Account 
    Setspn.exe -L serverHostName
    如果该 SPN 已成功创建 Analysis Services 服务器,此命令的结果通常以下面的格式显示。
    MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName 
    MSOLAPSvc.3/serverHostName
注意SQL 服务器 2005 Analysis Services 可以作为命名实例运行。在 SQL Server 2000 Analysis Services 中不支持这样做。如果您使用的命名的实例,则将应用相同的步骤。但是,必须配置以下 SPN 格式。与通过使用 SQL Server 引擎,您不能指定一个端口在冒号后。您必须使用所有功能的实际实例名称才能正常工作。
MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName:instanceName
MSOLAPSvc.3/serverHostName:instanceName

活动目录和配置

请确保满足以下所有条件为,则返回 true活动目录目录服务设置:
  • " 敏感帐户,不能是委派 将用户帐户未启用设置委派。
  • " 帐户可委派其他帐户 设置已启用的连接到 Analysis Services 的中间层的域帐户。例如,如果 IIS 是中间层的域帐户用于应用程序池,应用程序池该域帐户必须有 帐户可委派其他帐户 启用的设置。
  • " 帐户可委派其他帐户启用所有服务和 COM + 组件的帐户的设置,都将参与该进程。
  • " 信任计算机作为委派 设置已启用过程中涉及到的所有计算机。
注意所有帐户和进程中涉及的服务器都必须属于同一 活动目录(AD) 域或在同一个受信任的域目录林。如果您具有本机 Windows 2003 目录林,并且所需的详细信息有关如何启用跨目录林的委派,请参阅"林信任"一节下面的 Microsoft Web 站点:
http://technet2.microsoft.com/WindowsServer/en/library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx?mfr=true

Analysis Services 的客户端计算机配置

请确保满足以下条件的分析,则返回 true服务的客户端计算机:
  • Microsoft Internet Explorer 5.0 或更高版本安装。
  • 如果在计算机上,安装了 Internet Explorer 6启用集成 Windows 身份验证 (需要重新启动)安全选项被启用。
  • 如果 Analysis Services 是命名的实例,您必须为 SQL 浏览器创建 MSOLAPDisco.3 SPN。 有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    950599建立一个连接到某个命名实例的 SQL 服务器 2005 Analysis Services 或 SQL Server 2005 时需要 SQL Server 浏览器服务的 SPN
注意" 启用集成 Windows 身份验证 (要求请重新启动) 选项位于下 安全 在上 高级 在选项卡 Internet 选项 对话框框。您可能需要重新启动计算机,此设置才会生效。

在运行 IIS 的计算机上配置的设置

请确保满足以下条件的计算机上,则返回 true在双跃点身份验证方案中正在运行 IIS:
  • 下列设置是在 IIS 中配置为 Web站点或虚拟目录创建的 Web 客户端应用程序:
    • 目录安全性的身份验证方法是设置为 集成的 Windows 身份验证基本身份验证.
    • 应用程序保护级别被设置为 高(独立).
  • 下面的组件服务设置配置为 Web 站点或虚拟目录创建的客户机Web 应用程序:
    • COM + 软件包的模拟级别被设置为 委托.有关如何进行设置的详细信息模拟级别,请访问下面的 Microsoft Web 站点:
      http://msdn2.microsoft.com/en-us/library/ms681722.aspx
    • 设置应用程序标识的 COM + 程序包对 Windows 域帐户位置 帐户是受信任的委派 设置被启用。有关如何进行设置的详细信息应用程序标识,请访问下面的 Microsoft 网站:
      http://msdn2.microsoft.com/en-us/library/ms681314.aspx
  • Analysis Services 所使用的连接字符串客户端计算机连接到 Analysis Services 服务器包含SSPI = Kerberos参数。
  • 数据源名称必须是在连接字符串中,完全限定的域名称 (FQDN) 或 NETBIOS 名称。例如,可能是 FQDN为 myhost.mydomain.com,和可能的 NETBIOS 名称 myHostName.如果您指定数字 IP 地址,Kerberos 身份验证被禁用。
  • 运行 IIS 的计算机 SPN 可能必须将创建并注册。要创建的 SPN 取决于计算机名或主机名,以及 IIS 应用程序池标识。 有关如何创建 SPN 运行 IIS 的计算机的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    929650如何配置 IIS 6.0 上承载的 Web 应用程序时使用的 Spn
    setspn -S http/IISComputerName IISComputerName
    要手动注册 SPN 运行 IIS 的计算机,请按照"配置 Analysis Services 使用 Kerberos 中的步骤身份验证协议"一节。
  • 协商身份验证提供程序必须在 IIS 服务器上启用,以允许 Kerberos 身份验证。 有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    215383如何配置 IIS 以便支持 Kerberos 协议和 NTLM 协议的网络身份验证
  • 必须尽可能逼真地同步的 Kerberos 客户端和域控制器的时钟。有关的最大时间差的详细信息,请访问下面的 Microsoft Web 站点:
    http://technet.microsoft.com/en-us/library/cc779260.aspx
如果您已验证所有这些步骤,您仍然不能使用Kerberos,请按照下面的知识库文章,以收集中的步骤系统事件日志中的更多疑难解答信息: 有关详细信息,请单击下面的文章编号,到查看 Microsoft 知识库中相应的文章:
262177如何启用 Kerberos 事件日志记录

参考

有关如何将 SQL Server 2000年的配置详细信息分析服务器计算机使用 Kerberos 身份验证,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
828280如何配置 SQL Server 2000 Analysis Services 使用 Kerberos 身份验证的实例
为此有关 TechNet 技术支持网络广播的详细信息主题,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
916962Kerberos 身份验证配置 Microsoft SQL Server 2005 Analysis Services TechNet 网络广播:
如果在中间层计算机上安装了 Microsoft SharePoint Portal Server,可能会将虚拟目录配置为允许仅 NTLM 身份验证。 有关如何启用允许的虚拟目录的详细信息协商 (Kerberos) 身份验证,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
832769如何将 Windows SharePoint Services 虚拟服务器配置为使用 Kerberos 身份验证,以及如何从 Kerberos 身份验证切换回 NTLM 身份验证

属性

文章编号: 917409 - 最后修改: 2013年5月30日 - 修订: 8.0
这篇文章中的信息适用于:
  • Microsoft SQL Server 2008 Analysis Services
  • Microsoft SQL Server 2005 Analysis Services
关键字:?
kbsqlsetup kbexpertiseadvanced kbsql2005as kbhowto kbmt KB917409 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 917409
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com