文章編號: 917409 - 上次校閱: 2009年12月11日 - 版次: 7.0

如何設定 SQL Server 2008 分析服務和 SQL Server 2005 分析服務使用 Kerberos 驗證

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

結論

連線時執行 Microsoft SQL Server 2008 分析服務或 Microsoft SQL Server 2005 分析服務和連接包含雙躍點驗證案例的電腦時, 必須使用 Kerberos 做為驗證通訊協定。比方說雙躍點驗證案例中用戶端電腦可能傳遞登入認證到執行 Microsoft 網際網路資訊服務 (IIS) 的電腦。執行 IIS 的電腦必須再將登入認證傳遞至分析服務伺服器。您必須遵循的步驟與不同步驟為 SQL Server 2000 分析服務。
回此頁最上方

簡介

本文將告訴您,如何設定 SQL Server 2008 分析服務和 SQL Server 2005 分析服務使用 Kerberos 驗證。
回此頁最上方

其他相關資訊

設定使用 Kerberos 驗證通訊協定分析服務伺服器

一個服務主要名稱 (SPN) 分析服務的服務分析服務伺服器的暫存器。如果分析服務服務 LocalSystem 帳戶在 SQL Server 2000 的安全性內容下執行,SPN,就會自動建立。但是,您必須以手動方式建立 SPN SQL Server 2008 中和在 SQL Server 2005 中像當分析服務服務的 LocalSystem 帳戶以外的其他帳戶的安全性內容下執行時,在 SQL Server 2000 中建立 SPN。若要建立 SPN,使用 [Setspn.exe 在 Microsoft Windows 2000 資源工具箱 」 公用程式。這個工具也會包含在 Windows Server 2003 支援工具中。Windows Server 2003 支援工具都包含在 Windows Server 2003 Service Pack 1 (SP1)。

如果要下載 Setspn 公用程式,Windows 2000 資源工具箱 」 中的,請造訪下列 Microsoft 網站:
http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en)
如需有關如何下載 Setspn.exe 工具 」 為 Windows Server 2003 的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
970536? (http://support.microsoft.com/kb/970536/ ) Windows Server 2003 的 Setspn.exe 支援工具更新
此外,您可以使用 Kerbtray 公用程式,請確認,並移除任何一或多個關聯正在使用的電腦的 Kerbero 票證。如果要下載 Kerbtray 公用程式,請造訪下列 Microsoft 網站:
http://www.microsoft.com/downloads/details.aspx?FamilyID=4e3a58be-29f6-49f6-85be-e866af8e7a88&displaylang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=4e3a58be-29f6-49f6-85be-e866af8e7a88&displaylang=en)
下載 Setspn 公用程式之後請依照下列步驟執行。

附註您必須執行 Setspn 命令以 「 網域系統管理員群組的成員。 如果叢集執行個體的分析服務使用 [分析服務虛擬名稱] 作為完整格式的網域名稱 (FQDN)。
  1. 若要建立網域帳戶下執行的分析服務伺服器的 SPN,請在命令提示字元執行下列命令:
    • Setspn.exe-S MSOLAPSvc.3/ Fully_Qualified_domainName OLAP_Service_Startup_Account

      附註Fully_Qualified_domainName 是 FQDN 預留位置。
    • Setspn.exe-S MSOLAPSvc.3/ serverHostName OLAP_Service_Startup_Account
  2. 如果您必須建立在 LocalSystem 帳戶下執行的分析服務伺服器的 SPN,請在命令提示字元執行下列命令:
    • Setspn.exe-S MSOLAPSvc.3/ Fully_Qualified_domainName serverHostName
    • Setspn.exe-S MSOLAPSvc.3/ serverHostName serverHostName
  3. 若要確認 SPN 是否已建立分析服務伺服器,請執行下列命令在 
    Setspn.exe -L OLAP_Service_Startup_Account 
Setspn.exe -L serverHostName
    如果成功建立分析服務伺服器的 SPN,此命令的結果通常會出現在下列格式 
    MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName 
MSOLAPSvc.3/serverHostName
    命令提示字元。
附註SQL Server 2005 分析服務可以操作與具名執行個體。這並不支援在 SQL Server 2000 分析服務。如果您使用具名執行個體,套用相同的步驟。但是,您必須設定下列的 SPN 格式。不同於與 SQL Server] 引擎您不能指定一個連接埠在冒號後。您必須使用實際的執行個體名稱的所有功能才能正常運作 
MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName:instanceName
MSOLAPSvc.3/serverHostName:instanceName
回此頁最上方

設定 Active Directory 設定

確定下列所有條件都都適用於 Active Directory 目錄服務設定:
  • 不會啟用 是機密帳戶,無法委派] 設定,將會被委派的使用者帳戶。
  • 為網域帳戶的連線到分析服務中介層啟用了 [帳戶受信任可以委派] 設定。比方說如果 IIS 是中介層,且網域帳戶用於應用程式集區的網域帳戶必須擁有的應用程式集區 帳戶受信任可以委派 設定啟用。
  • 帳戶受信任可以委派 設定被啟用的所有服務和 COM + 元件相關的處理序帳戶。
  • 程序中所涉及的所有電腦啟用了 [信任電腦以便進行委派] 設定。
附註所有的帳戶和程序中所涉及的伺服器必須屬於同一個 Active Directory 網域,或在相同的樹系信任的網域。如果您有原生 Windows 2003 樹系,而您想啟用跨樹系委派的詳細資訊,請參閱樹系信任 」 一節的下列 Microsoft 網站:
http://technet2.microsoft.com/WindowsServer/en/library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx?mfr=true (http://technet2.microsoft.com/WindowsServer/en/library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx?mfr=true)
回此頁最上方

設定分析服務用戶端電腦

請確定下列情況是在 [分析,則為 True 服務用戶端電腦:
  • 安裝 Microsoft Internet Explorer 5.0 或更新的版本。
  • 如果 啟用整合的 Windows 驗證 (需要重新啟動) 電腦上安裝 Internet Explorer 6 已啟用安全性選項。
  • 如果分析服務具名執行個體您必須為 SQL 瀏覽器建立 MSOLAPDisco.3 SPN。如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
    950599? (http://support.microsoft.com/kb/950599/ ) SQL Server 瀏覽器服務的 SPN 時,需要建立連線至具名執行個體或 SQL Server 2005 的 SQL Server 2005 分析服務
附註[啟用整合的 Windows 驗證 (需要重新啟動)] 選項位於在 [安全性] 下在 [網際網路選項] 對話方塊中的 [進階] 索引標籤上。您可能必須重新啟動電腦,讓此設定才會生效。
回此頁最上方

在執行 IIS 的電腦上設定

請確定下列情況是在雙躍點驗證的案例中執行 IIS 的電腦上,則為 True:
  • 在 IIS 中設定以下設定值,是針對 Web 站台或虛擬目錄的用戶端所建立的 Web 應用程式:
    • 目錄安全性的驗證方法是將設定 整合式 Windows 驗證基本驗證
    • 應用程式保護層級設定為 [高 (隔離)
  • 針對 Web 站台或用戶端 Web 應用程式所建立的虛擬目錄設定下列的元件服務設定值:
    • 模擬層級的 COM + 封裝設定為 委派。如需有關如何設定模擬層級的詳細資訊,請造訪下列 Microsoft 網站]:
      http://msdn2.microsoft.com/en-us/library/ms681722.aspx (http://msdn2.microsoft.com/en-us/library/ms681722.aspx)
    • 應用程式識別的 COM + 封裝是設定為 Windows 網域帳號啟用了 [帳戶受信任可以委派] 設定。如需有關如何設定應用程式識別的詳細資訊,請造訪下列 Microsoft 網站]:
      http://msdn2.microsoft.com/en-us/library/ms681314.aspx (http://msdn2.microsoft.com/en-us/library/ms681314.aspx)
  • 連接字串,用於分析服務用戶端電腦連線到分析服務伺服器會包含 SSPI = Kerberos 參數。
  • 連接] 字串中的資料來源的名稱必須是完整格式的網域名稱 (FQDN)] 或 [NETBIOS 名稱。例如,FQDN 可能 myhostmydomain.com 和 NETBIOS 名稱可能會 myHostName。如果指定數值的 IP 位址,已停用 Kerberos 驗證。
  • 執行 IIS 的電腦的 SPN 可能必須建立並註冊。要建立 SPN 取決於電腦名稱] 或 [主機名稱] 和 [IIS 應用程式集區識別。如需有關如何建立 SPN 執行 IIS 之電腦的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
    929650? (http://support.microsoft.com/kb/929650/ ) 如何使用的 SPN,當您在 IIS 6.0 上設定裝載的 Web 應用程式 
    setspn -S http/IISComputerName IISComputerName
    若要手動註冊 SPN 執行 IIS 之電腦,請遵循步驟中的"設定分析服務 」 來使用 [Kerberos 驗證通訊協定 」 一節。
  • IIS 伺服器上必須啟用交涉的驗證提供者允許的 Kerberos 驗證。如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
    215383? (http://support.microsoft.com/kb/215383/ ) 如何將 IIS 設定為支援網路驗證 Kerberos 通訊協定和 NTLM 通訊協定
  • Kerberos 用戶端和網域控制站的時鐘必須為盡可能接近進行同步處理。如需有關最大時間差異的詳細資訊,請造訪下列 Microsoft 網站]:
    http://technet.microsoft.com/en-us/library/cc779260.aspx (http://technet.microsoft.com/en-us/library/cc779260.aspx)
如果您已確認這些步驟,並且仍然無法使用 Kerberos 依照下列的知識庫文件中,從系統事件記錄檔收集疑難排解的詳細資訊: 如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
262177? (http://support.microsoft.com/kb/262177/ ) 如何啟用 Kerberos 事件記錄
回此頁最上方

?考

如需有關如何設定 SQL Server 2000 分析伺服器電腦,以使用 Kerberos 驗證的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
828280? (http://support.microsoft.com/kb/828280/ ) 如何設定 SQL Server 2000 使用 Kerberos 驗證的分析服務的執行個體
如需有關 TechNet 支援網路廣播給此主體,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
916962? (http://support.microsoft.com/kb/916962/ ) TechNet 支援網路廣播: 為 Kerberos 驗證設定 Microsoft SQL Server 2005 分析服務
如果介層電腦上已安裝 Microsoft SharePoint 入口網站伺服器,虛擬目錄可能會被設定為允許只 NTLM 驗證。啟用允許虛擬目錄的詳細資訊如交涉 (Kerberos) 驗證,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項件:
832769? (http://support.microsoft.com/kb/832769/ ) 如何設定 Windows SharePoint 服務虛擬伺服器來使用 Kerberos 驗證,以及如何從 Kerberos 驗證切換回到 NTLM 驗證
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft SQL Server 2008 Analysis Services
  • Microsoft SQL Server 2005 Analysis Services
回此頁最上方
關鍵字:?
kbmt kbexpertiseadvanced kbsql2005as kbhowto KB917409 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:917409? (http://support.microsoft.com/kb/917409/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。