如何設定 SQL Server 2008 Analysis Services 和 SQL Server 2005 分析服務,才能使用 Kerberos 驗證

文章翻譯 文章翻譯
文章編號: 917409 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

當連線到正在執行的電腦Microsoft SQL Server 2008 Analysis Services 或 Microsoft SQL Server 2005 Analysis Services 以及連接包含雙躍點驗證案例中,您必須使用 Kerberos 驗證通訊協定。比方說,在雙躍點驗證案例中,用戶端電腦可能通過電腦正在執行 Microsoft 的登入認證網際網路資訊服務 (IIS)。執行 IIS 的電腦必須再傳遞給 Analysis Services 伺服器的登入認證。這些步驟,您不能遵循相同步驟 SQL Server 2000年分析服務。

簡介

本文將告訴您如何設定 SQL Server 2008 Analysis Services 和 SQL Server 2005Analysis Services 使用 Kerberos 驗證。

其他相關資訊

設定 Analysis Services 伺服器來使用 Kerberos 驗證通訊協定

註冊服務主要名稱 (SPN) 分析服務Analysis Services 伺服器上的服務。如果 Analysis Services 服務在 [SQL Server 的 LocalSystem 帳戶的安全性內容下執行2000 年 SPN 會自動建立。不過,您必須以手動方式建立在 [SQL Server 2008年,如同您在 SQL Server 2000年建立的 SPN,SQL Server 2005 中的 SPN 時分析服務 」 服務正在執行之帳戶的安全性內容以外的 LocalSystem 帳戶。若要建立的 SPN,請使用 Setspn.exe在 Microsoft Windows 2000 資源工具箱 」 中的公用程式。這個工具也會包含在 Windows Server 2003 支援工具。Windows Server 2003 支援工具包含在 Windows Server 2003 Service Pack 1 (SP1)。

如果要下載「 Setspn 」 公用程式在 Windows 2000 資源工具箱 」,請造訪下列Microsoft 網站:
http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en
如需有關如何下載 Windows Server 2003 的 Setspn.exe 工具的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
970536Windows Server 2003 Setspn.exe 支援工具更新
下載 「 Setspn 」 公用程式之後,請按照以下的步驟。

附註您必須是網域系統管理員群組的成員[ Setspn ] 指令。如果 Analysis Services 的執行個體已組成叢集,請使用 Analysis Services 虛擬名稱做為完整格式的網域名稱 (FQDN)。
  1. 若要建立的 SPN 的 Analysis Services 伺服器,網域帳戶下執行,請在命令提示字元執行下列命令:
    • Setspn.exe-S MSOLAPSvc.3/Fully_Qualified_domainName OLAP_Service_Startup_Account

      附註:Fully_Qualified_domainName 是 FQDN 的預留位置。
    • Setspn.exe-S MSOLAPSvc.3/serverHostName OLAP_Service_Startup_Account
  2. 如果您必須建立的 SPN,Analysis Services 伺服器在 LocalSystem 帳戶,請執行下列命令,在下執行命令提示字元:
    • Setspn.exe-S MSOLAPSvc.3/Fully_Qualified_domainName serverHostName
    • Setspn.exe-S MSOLAPSvc.3/serverHostName serverHostName
  3. 若要確認 SPN 是否已建立詳細的分析服務伺服器,請在命令提示字元執行下列命令。
    Setspn.exe -L OLAP_Service_Startup_Account 
    Setspn.exe -L serverHostName
    如果 SPN 已經成功建立 Analysis Services 伺服器,這個命令的結果通常會以下列格式出現。
    MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName 
    MSOLAPSvc.3/serverHostName
附註SQL Server 2005 Analysis Services 可以充當具名執行個體。不支援此功能在 SQL Server 2000 Analysis Services 中。如果您使用具名執行個體,便會套用相同的步驟。不過,您必須設定下列的 SPN 格式。與不同的是,SQL Server 引擎,您無法在冒號後指定連接埠。您必須使用所有功能的實際執行個體名稱,才能正常運作。
MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName:instanceName
MSOLAPSvc.3/serverHostName:instanceName

設定使用中目錄設定

請確定下列所有情況都均成立的使用中目錄的目錄服務設定:
  • [ 是機密帳戶,不能為委派 使用者帳戶將會是不啟用設定委派。
  • [ 帳戶受信任可以委派 設定時才連接到 Analysis Services 中介層的網域帳戶。比方說,如果 IIS 是中介層應用程式集區使用網域帳戶,必須有該應用程式集區的網域帳戶 帳戶受信任可以委派 啟用的設定。
  • [ 帳戶受信任可以委派設定已啟用的所有服務和 COM + 元件的帳戶,都能參與處理程序。
  • [ 信任電腦以便進行委派 設定必須啟用參與處理程序中的所有電腦。
附註所有的帳戶和參與處理程序中的伺服器必須隸屬於同一個 Active Directory 網域,或在同一個受信任的網域樹系。如果您有原生 Windows 2003 樹系,而且想要瞭解更多資訊有關如何啟用跨樹系的委派,請參閱 「 樹系信任 」 的下列 Microsoft 網站:
http://technet2.microsoft.com/WindowsServer/en/library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx?mfr=true

設定分析服務用戶端電腦

請確定下列情況均成立在分析服務的用戶端電腦:
  • Microsoft Internet Explorer 5.0 或較新版本是安裝。
  • 如果 Internet Explorer 6 已安裝在電腦上,啟用整合式 Windows 驗證 (需要重新啟動)啟用安全性選項。
  • 如果 Analysis Services 為具名執行個體,您必須建立 MSOLAPDisco.3 SPN SQL 瀏覽器。 如需詳細資訊,按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    950599當您連線到 SQL Server 2005 Analysis Services 的或 SQL Server 2005 的具名執行個體時,便需要 SQL Server 瀏覽器服務的 SPN
附註[ 啟用整合式 Windows 驗證 (需要重新啟動) 即可找到選項 安全性 在上 進階 在 [定位點 網際網路選項 對話方塊方塊中。您可能必須重新啟動電腦,讓這項設定才會生效。

在執行 IIS 的電腦上設定

請確定下列情況均成立在電腦上在雙躍點驗證的情況下執行 IIS:
  • 為 Web 在 IIS 中設定下列設定值網站或虛擬目錄所建立的 Web 用戶端應用程式:
    • 目錄安全性的驗證方法是若要設定 整合式的 Windows 驗證 上,或者 基本驗證.
    • 應用程式保護層級設定為 高(隔離).
  • 已設定下列的元件服務設定網站或虛擬目錄,建立用戶端Web 應用程式:
    • COM + 套件的模擬等級設定為 委派.如需有關如何設定模擬層級,請造訪下列 Microsoft 網站:
      http://msdn2.microsoft.com/en-us/library/ms681722.aspx
    • 設定 COM + 套件的應用程式識別到 Windows 網域帳戶位置 帳戶受信任可以委派 設定為啟用。如需有關如何設定應用程式識別,請造訪下列 Microsoft 網站:
      http://msdn2.microsoft.com/en-us/library/ms681314.aspx
  • 分析服務會使用連接字串用戶端電腦連線到 Analysis Services 伺服器包含SSPI = Kerberos參數。
  • 在連接字串中,資料來源名稱必須是完整格式的網域名稱 (FQDN) 或 NETBIOS 名稱。比方說,可能是 FQDNmyhost.為 mydomain.com、 和可能的 NETBIOS 名稱 myHostName.如果您指定數字的 IP 位址,Kerberos 驗證已停用。
  • SPN 執行 IIS 的電腦可能需要建立並註冊。要建立的 SPN,取決於電腦名稱或主機名稱,以及 IIS 應用程式集區身分識別。 如需有關如何建立執行 IIS 的電腦 SPN 的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
    929650當您設定 Web 應用程式裝載在 IIS 6.0 上的 Spn 的使用方式
    setspn -S http/IISComputerName IISComputerName
    若要以手動方式註冊 SPN 執行 IIS 的電腦,請依照下列"設定 Analysis Services 使用 Kerberos] 中的步驟驗證通訊協定 」 一節。
  • 交涉的驗證提供者必須啟用 IIS 伺服器上,以便進行 Kerberos 驗證。 如需詳細資訊,按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    215383如何將 IIS 設定成同時支援 Kerberos 通訊協定和 NTLM 通訊協定進行網路驗證
  • 時鐘的 Kerbero 用戶端和網域控制站必須盡可能同步處理。如需有關最大時間差異的詳細資訊,請造訪下列 Microsoft 網站:
    http://technet.microsoft.com/en-us/library/cc779260.aspx
如果您已確認過所有這些步驟仍無法使用Kerberos,請依照下列 「 知識庫 」 文件,以蒐集從系統事件日誌的詳細疑難排解資訊: 如需詳細資訊,請按一下下的面的文件編號,請檢視 「 Microsoft 知識庫 」 中的文的文件:
262177如何啟用 Kerberos 事件記錄

?考

如需有關如何設定 SQL Server 2000Analysis server 電腦,才能使用 Kerberos 驗證,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
828280如何設定 SQL Server 2000年使用 Kerberos 驗證的 Analysis Services 的執行個體
如需詳細資訊,此 「 有關 TechNet 技術支援網路廣播主旨,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
916962TechNet 支援網路廣播: 設定 Microsoft SQL Server 2005 Analysis Services 的 Kerberos 驗證
如果在中介層電腦上安裝了 Microsoft SharePoint Portal Server,虛擬目錄可能會被設定為允許僅有的 NTLM 驗證。 如需有關如何啟用 [虛擬目錄,以允許交涉 (Kerberos) 驗證,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
832769如何設定 Windows SharePoint Services 虛擬伺服器,才能使用 Kerberos 驗證,以及如何從 Kerberos 驗證切換回 NTLM 驗證

屬性

文章編號: 917409 - 上次校閱: 2013年5月30日 - 版次: 8.0
這篇文章中的資訊適用於:
  • Microsoft SQL Server 2008 Analysis Services
  • Microsoft SQL Server 2005 Analysis Services
關鍵字:?
kbsqlsetup kbexpertiseadvanced kbsql2005as kbhowto kbmt KB917409 KbMtzh
機器翻譯
請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。
按一下這裡查看此文章的英文版本:917409
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com