Jak nakonfigurovat SQL Server 2008 Analysis Services a SQL Server 2005 Analysis Services na používání ověřování pomocí protokolu Kerberos

Souhrn

Po připojení k počítači se systémem Microsoft SQL Server 2008 Analysis Services nebo Microsoft SQL Server 2005 Analysis Services a že připojení zahrnuje ověřování dvojím směrováním scénáři musíte použít ověřovací protokol Kerberos. Například v případě ověřování dvojím směrováním, může klientský počítač předat pověření pro přihlášení k počítači se systémem Internetová informační služba (IIS). Počítač se spuštěnou službou IIS pak musí projít pověření pro přihlášení k serveru služby Analysis Services. Kroky, které musíte podniknout kroky liší pro SQL Server 2000 Analysis Services.

ÚVOD

Tento článek popisuje, jak nakonfigurovat SQL Server 2008 Analysis Services a SQL Server 2005 Analysis Services na používání ověřování pomocí protokolu Kerberos.

Další informace

Konfigurace serveru služby Analysis Services pro použití ověřovacího protokolu Kerberos

Registrace hlavního názvu služby (SPN) pro službu Analysis Services na serveru služby Analysis Services. Pokud služba Analysis Services je spuštěna v kontextu zabezpečení účtu LocalSystem na serveru SQL Server 2000, hlavní název služby se vytvoří automaticky. Nicméně je nutné vytvořit ručně SPN SQL Server 2008 a SQL Server 2005 jako hlavní název služby je vytvořit v SQL Server 2000 Analysis Services služba je spuštěna v kontextu zabezpečení jiný než účet LocalSystem. Chcete-li vytvořit hlavní název služby, pomocí nástroje Setspn.exe v Microsoft Windows 2000 Resource Kit. Tento nástroj je také součástí nástrojů podpory systému Windows Server 2003. Nástroje podpory systému Windows Server 2003 jsou zahrnuty v systému Windows Server 2003 Service Pack 1 (SP1).

Chcete-li stáhnout nástroj Setspn v systému Windows 2000 Resource Kit, navštivte následující Web společnosti Microsoft:Další informace o tom, jak stáhnout nástroj Setspn.exe pro systém Windows Server 2003 klepněte na následující číslo článku databáze Microsoft Knowledge Base:

970536 Setspn.exe podporu nástroje aktualizace pro systém Windows Server 2003

Po stažení nástroje Setspn postupujte takto.

Poznámka: Musíte být členem skupiny Domain Administrators, spustit příkaz Setspn . Pokud je v clusteru instance služby Analysis Services, použijte název virtuálního serveru služby Analysis Services jako úplný doménový název (FQDN).
  1. Chcete-li vytvořit název SPN pro server Analysis Services, který je spuštěn pod účtem domény, spusťte následující příkazy příkazového řádku:
    • Setspn.exe -S MSOLAPSvc.3/Fully_Qualified_domainName OLAP_Service_Startup_Account

      Poznámka: Fully_Qualified_domainName je zástupný symbol pro název FQDN.
    • Setspn.exe -S MSOLAPSvc.3/serverHostName OLAP_Service_Startup_Account
  2. Pokud je nutné vytvořit název SPN pro službu Analysis Services serveru, který běží pod účtem LocalSystem, spusťte následující příkazy příkazového řádku:
    • Setspn.exe -S MSOLAPSvc.3/Fully_Qualified_domainName serverHostName
    • Setspn.exe -S MSOLAPSvc.3/serverHostName serverHostName
  3. Chcete-li ověřit, zda byl vytvořen název SPN pro server Analysis Services, spusťte následující příkazy na příkazovém řádku.
    Setspn.exe -L OLAP_Service_Startup_Account Setspn.exe -L 
    serverHostName
    Pokud hlavní název služby byl úspěšně vytvořen na serveru služby Analysis Services, zobrazí se obvykle výsledky tohoto příkazu v následujícím formátu.
    MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName MSOLAPSvc.3/
    serverHostName
Poznámka: SQL Server 2005 Analysis Services může fungovat jako pojmenovaná instance. Tato možnost není podporována v SQL Server 2000 Analysis Services. Pokud používáte pojmenovanou instanci, použije stejný postup. Nicméně je nutné nakonfigurovat následující formáty názvů SPN. Na rozdíl od stroje SQL Server, nelze zadat port za dvojtečkou. Musíte použít název skutečné instance pro všechny funkce pracovat správně.
MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName:instanceNameMSOLAPSvc.3/serverHostName:instanceName

Konfigurace nastavení služby Active Directory

Zkontrolujte nastavení služby adresáře služby Active Directory platí všechny následující podmínky:
  • Pro uživatelské účty, které bude delegováno není povoleno nastavení účet je citlivý a nelze jej delegovat .
  • Pro střední vrstvy, který se připojuje ke službě Analysis Services účet domény je povoleno nastavení účet je důvěryhodný pro delegování . Například pokud služba IIS je střední vrstva a je použit účet domény pro fond aplikací, který musí mít účet domény pro fond aplikací účet je důvěryhodný pro delegování nastavení povoleno.
  • Pro účty všech služeb a součástí modelu COM +, které se účastní procesu je povoleno nastavení účet je důvěryhodný pro delegování.
  • Nastavení důvěryhodnosti počítače pro delegování je povoleno pro všechny počítače, které se účastní procesu.
Poznámka: Všechny účty a všechny servery, které se účastní procesu musí patřit do stejné domény služby Active Directory nebo do důvěryhodných domén ve stejné doménové struktuře. Pokud máte nativní doménových struktur systému Windows 2003 a chcete získat další informace o tom, jak povolit delegování v rámci struktury, naleznete v části "Vztahy důvěryhodnosti doménové struktury" na následujícím webu společnosti Microsoft:

Konfigurace klientských počítačů služby Analysis Services

Ujistěte se, že se v klientských počítačích služby Analysis Services platí následující podmínky:
  • Je nainstalována aplikace Microsoft Internet Explorer 5.0 nebo novější.
  • Pokud je nainstalována aplikace Internet Explorer 6 v počítači,
    Je povolena možnost zabezpečení Povolit Integrované ověření systémem Windows (vyžaduje restartování).
  • Pokud pojmenované instance služby Analysis Services, je nutné vytvořit název SPN MSOLAPDisco.3 pro prohlížeč SQL. Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:

    950599 hlavní název služby pro službu Prohlížeč serveru SQL je vyžadován při navázání připojení k pojmenované instance serveru SQL Server 2005 Analysis Services nebo SQL Server 2005

Poznámka: Možnost Povolit Integrované ověření systémem Windows (vyžaduje restartování) je umístěn v části zabezpečení na
Karta Upřesnit v dialogovém okně Možnosti Internetu . Bude pravděpodobně nutné restartovat počítač, aby toto nastavení se projeví.

Konfigurace nastavení v počítači se spuštěnou službou IIS

Ujistěte se, že se v počítači se spuštěnou službou IIS v případě ověřování dvojím směrováním platí následující podmínky:
  • Následující nastavení jsou konfigurovány ve službě IIS pro webový server nebo virtuální adresář, který byl vytvořen pro klienta webové aplikace:
    • Metoda ověřování pro zabezpečení adresáře je nastavena na Integrované ověřování systému Windows nebo Základní ověřování.
    • Úroveň ochrany aplikace je nastavena na hodnotu Vysoká (Izolovaná).
  • Následující nastavení služby Component Services jsou konfigurovány pro webový server nebo virtuální adresář, který byl vytvořen pro klienta webové aplikace:
    • Úroveň zosobnění pro aplikaci modelu COM + balíčky je nastavena na
      Delegát. Další informace o tom, jak nastavit úroveň zosobnění naleznete na následujícím webu společnosti Microsoft:
    • Identitu aplikace COM + balíčků je nastavena na účet domény systému Windows, pokud je povoleno nastavení účet je důvěryhodný pro delegování . Další informace o způsobu nastavení identity aplikace naleznete na následujícím webu společnosti Microsoft:
  • Obsahuje připojovací řetězec, který slouží k připojení k serveru služby Analysis Services v klientském počítači služby Analysis Services rozhraní SSPI protokolu Kerberos = parametr.
  • Název zdroje dat v připojovacím řetězci musí být úplný doménový název (FQDN) nebo název NETBIOS. Název FQDN může být například
    názvu.. doména.com a název NETBIOS může být myHostName. Pokud zadáte číselnou adresu IP, je zakázáno ověřování pomocí protokolu Kerberos.
  • Název SPN pro počítač se spuštěnou službou IIS může mít k vytvoření a registraci. Chcete-li vytvořit název SPN závisí na název počítače nebo název hostitele a identita fondu aplikací služby IIS. Další informace o tom, jak vytvořit název SPN pro počítač se spuštěnou službou IIS klepněte na následující číslo článku databáze Microsoft Knowledge Base:

    929650 jak používat názvy SPN při konfiguraci webové aplikace, které jsou hostovány ve službě IIS 6.0

    setspn -S http/IISComputerName IISComputerName
    Chcete-li ručně zaregistrovat hlavní název služby v počítači se spuštěnou službou IIS, postupujte podle kroků v části "Konfigurace služby Analysis Services pro použití ověřovacího protokolu Kerberos".
  • Zprostředkovatele ověřování Negotiate musí být povoleno na serveru IIS pro ověřování pomocí protokolu Kerberos. Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:

    215383 jak nakonfigurovat službu IIS na podporu protokolu Kerberos a protokolu NTLM pro ověřování v síti

  • Je třeba synchronizovat hodiny pro Kerberos klienta a řadiče domény co možná nejvíce. Další informace o maximální časový rozdíl naleznete na následujícím webu společnosti Microsoft:

Pokud jste ověřili všechny tyto kroky a stále nelze použít protokol Kerberos, postupujte podle kroků v následujícím článku znalostní báze Knowledge Base, chcete-li získat další informace o řešení problémů z protokolu událostí systému:
Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
262177 jak povolit protokolování událostí protokolu Kerberos

Odkazy

Další informace o konfiguraci ověřování protokolem Kerberos na serveru SQL Server 2000 Analysis získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

828280 jak nakonfigurovat instance SQL Server 2000 Analysis Services k ověřování pomocí protokolu Kerberos

Další informace o webové vysílání podpory TechNet pro tuto oblast klepněte na následující číslo článku databáze Microsoft Knowledge Base:

916962 webové vysílání podpory TechNet: Konfigurace Microsoft SQL Server 2005 Analysis Services pro ověřování pomocí protokolu Kerberos

Pokud Microsoft SharePoint Portal Server nainstalovaný na počítači střední vrstvy, virtuální adresář může být konfigurován na povolení pouze ověřování NTLM. Další informace o tom, jak povolit virtuální adresář umožňuje vyjednat ověřování (Kerberos), získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

832769 jak nakonfigurovat virtuální server služby Windows SharePoint Services k ověřování pomocí protokolu Kerberos a jak přepnout z tohoto ověřování zpět na ověřování protokolem NTLM

Vlastnosti

ID článku: 917409 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor