SQL Server 2008 Analysis Services und SQL Server 2005 Analysis Services Kerberos-Authentifizierung konfigurieren

Zusammenfassung

Wenn eine Verbindung zu einem Computer besteht, der ausgeführt wird, Microsoft SQL Server 2008 Analysis Services oder Microsoft SQL Server 2005 Analysis Services und Verbindung eine Double-Hop-Szenario umfasst, müssen Sie Kerberos als Authentifizierungsprotokoll verwenden. Beispielsweise kann in einem Szenario mit Double-Hop-Authentifizierung ein Clientcomputer Anmeldeinformationen an einen Computer übergeben, die Microsoft-Internetinformationsdienste (IIS) ausgeführt wird. Der Computer mit IIS muss dann die Anmeldeinformationen zum Analysis Services-Server. Die Schritte Sie unterscheiden sich von den Schritten für SQL Server 2000 Analysis Services.

Einführung

Dieser Artikel beschreibt, wie SQL Server 2008 Analysis Services und SQL Server 2005 Analysis Services Kerberos-Authentifizierung konfigurieren.

Weitere Informationen

Konfigurieren Sie einen Analysis Services-Server, um das Kerberos-Authentifizierungsprotokoll verwenden

Registrieren Sie ein Name (SPN) für den Analysis Services-Dienst auf dem Analysis Services-Server. Wenn der Analysis Services-Dienst im Sicherheitskontext des Kontos LocalSystem in SQL Server 2000 ausgeführt wird, wird der SPN automatisch erstellt. Allerdings müssen Sie manuell erstellen den SPN in SQL Server 2008 und SQL Server 2005 den SPN in SQL Server 2000 zu erstellen, wenn Analysis Services-Dienst im Sicherheitskontext eines Kontos als das lokale Systemkonto ausgeführt wird. Um den SPN zu erstellen, verwenden Sie das Setspn.exe-Dienstprogramm in Microsoft Windows 2000 Resource Kit. Dieses Tool ist auch in Windows Server 2003-Supporttools enthalten. Windows Server 2003-Supporttools sind in Windows Server 2003 Service Pack 1 (SP1) enthalten.

Herunterladen des Dienstprogramms Setspn im Windows 2000 Resource Kit finden Sie auf der folgenden Microsoft-Website:Weitere Informationen über das Tool Setspn.exe für Windows Server 2003 downloaden klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

970536 Setspn.exe Tool Update für Windows Server 2003

Nachdem Sie das Setspn-Dienstprogramm herunterladen, gehen Sie folgendermaßen vor.

Hinweis Sie müssen Mitglied der Gruppe Domänen-Admins den Befehl Setspn ausführen werden. Gruppierte Instanz von Analysis Services verwenden Sie den virtuellen Namen Analysis Services als vollqualifizierten Domänennamen (FQDN).
  1. Den SPN für Analysis Services-Server erstellen, die unter einem Domänenkonto ausgeführt wird, führen Sie folgende Befehle ein:
    • Setspn.exe -S MSOLAPSvc.3/Fully_Qualified_domainName OLAP_Service_Startup_Account

      Hinweis Fully_Qualified_domainName ist ein Platzhalter für den FQDN.
    • Setspn.exe -S MSOLAPSvc.3/ServerHostName OLAP_Service_Startup_Account
  2. Wenn Sie SPN für Analysis Services-Server erstellen, die unter dem Konto LocalSystem ausgeführt wird, führen Sie folgende Befehle ein:
    • Setspn.exe -S MSOLAPSvc.3/Fully_Qualified_domainName serverHostName
    • Setspn.exe -S MSOLAPSvc.3/ServerHostName serverHostName
  3. Um zu überprüfen, ob der SPN für den Analysis Services-Server erstellt wurde, führen Sie folgende Befehle in der Befehlszeile.
    Setspn.exe -L OLAP_Service_Startup_Account Setspn.exe -L 
    serverHostName
    Wenn der SPN für den Analysis Services-Server erfolgreich erstellt wurde, werden die Ergebnisse dieses Befehls in der Regel im folgenden Format.
    MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName MSOLAPSvc.3/
    serverHostName
Hinweis SQL Server 2005 Analysis Services kann als benannte Instanz ausgeführt werden. Dies ist in SQL Server 2000 Analysis Services nicht unterstützt. Wenn Sie eine benannte Instanz verwenden, gelten die gleichen Schritte. Allerdings müssen Sie die folgenden Formate SPN konfigurieren. Im Gegensatz zu kann nicht mit der SQL Server Engine einen Anschluss nach dem Doppelpunkt soll. Den tatsächlichen Instanznamen für alle Funktionen verwenden ordnungsgemäß funktioniert.
MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName:instanceNameMSOLAPSvc.3/serverHostName:instanceName

Active Directory konfigurieren

Stellen Sie sicher, dass Active Directory Directory Service Einstellungen für alle folgenden Punkte zutreffen:
  • Das Konto ist vertraulich und kann nicht delegiert werden ist nicht für Benutzerkonten aktiviert, das delegiert werden.
  • Das Konto wird für Delegierungszwecke vertraut ist für das Domänenkonto der mittleren Ebene aktiviert, das mit Analysis Services verbinden. Beispielsweise aktiviert, wenn IIS der mittleren Ebene ist und ein Domänenkonto für den Anwendungspool, die Anwendungspool-Domänenkontos verwendet das Konto wird für Delegierungszwecke vertraut .
  • Das Konto wird für Delegierungszwecke vertrautist aktiviert für die Konten aller Dienste und COM+-Komponenten, die beteiligt sind.
  • Die Computer für Delegierungszwecke vertrauen ist für alle Computer aktiviert, die beteiligt sind.
Hinweis Alle Konten und Server beteiligt sind, müssen derselben Active Directory-Domäne oder vertrauenswürdiger Domänen in derselben Gesamtstruktur gehören. Wenn Sie systemeigene Windows 2003-Gesamtstrukturen und Weitere Informationen gesamtstrukturübergreifende Delegierung aktivieren möchten, finden Sie im Abschnitt "Gesamtstrukturvertrauensstellungen" von der folgenden Microsoft-Website:

Konfigurieren von Clientcomputern für Analysis Services

Stellen Sie sicher, dass auf den Clientcomputern Analysis Services Folgendes zutrifft:
  • Microsoft Internet Explorer 5.0 oder höher installiert ist.
  • Wenn Internet Explorer 6 auf dem Computer installiert die
    Integrierte Windows-Authentifizierung aktivieren (Neustart erforderlich)ist Sicherheit aktiviert.
  • Wenn Analysis Services eine benannte Instanz handelt, müssen Sie MSOLAPDisco.3 SPN für SQL Browser erstellen. Für Weitere Informationen klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

    950599 ein SPN für den SQL Server-Browserdienst ist erforderlich, wenn eine zu einer benannten Instanz von SQL Server 2005 Analysis Services oder SQL Server 2005 Verbindung

Hinweis Die Option Integrierte Windows-Authentifizierung aktivieren (Neustart erforderlich) befindet sich unter Sicherheit auf der
Registerkarte im Dialogfeld " Internetoptionen ". Möglicherweise zum Neustarten des Computers, damit diese Einstellung wirksam wird.

Auf dem Computer mit IIS konfigurieren

Stellen Sie sicher, dass Folgendes auf dem Computer, die IIS in einem Szenario mit Double-Hop-Authentifizierung ausgeführt wird:
  • Folgendes sind in IIS konfiguriert, für die Website oder das virtuelle Verzeichnis für den Client-Anwendung erstellt wurde:
    • Die Authentifizierungsmethode für den Verzeichnisdienst ist Standardauthentifizierungoder Integrierte Windows-Authentifizierung festgelegt.
    • Hoch (isoliert)die Anwendungsschutzebene fest.
  • Für die Website oder das virtuelle Verzeichnis für den Client-Anwendung erstellt wurde, sind Komponentendienste Folgendes konfiguriert:
    • Die Identitätswechselebene für COM+-Pakete festgelegt ist
      Delegaten. Weitere Informationen zum Festlegen eine Identitätswechselebene finden Sie auf der folgenden Microsoft-Website:
    • Die Identität für die COM+-Pakete ist ein Windows-Domänenkonto fest, die Konto wird für Delegierungszwecke vertraut Einstellung aktiviert. Weitere Informationen zum Festlegen eine Anwendungsidentität finden Sie auf der folgenden Microsoft-Website:
  • Enthält die Verbindungszeichenfolge, die Analysis Services-Clientcomputer Verbindung mit Analysis Services-Server verwendet die SSPI Kerberos = Parameter.
  • In der Verbindungszeichenfolge muss der Name der Datenquelle der vollqualifizierte Domänenname (FQDN) oder NetBIOS-Namen. Z. B. möglicherweise der FQDN
    Myhost. MeineDomäne.com und den NetBIOS-Namen können MyHostNamesein. Wenn Sie eine numerische IP-Adresse angeben, wird Kerberos-Authentifizierung deaktiviert.
  • Ein SPN für den Computer mit IIS möglicherweise erstellt und registriert werden. Hängt von den Computernamen oder Hostnamen und die IIS-Anwendungspoolidentität SPN erstellt werden. Weitere Informationen einen SPN für den Computer erstellen, auf dem IIS ausgeführt wird, klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

    929650 wie SPNs beim Konfigurieren von ASP.NET-Webanwendungen gehostet werden auf IIS 6.0

    setspn -S http/IISComputerName IISComputerName
    Registrieren manuell einen SPN für den Computer, auf dem IIS ausgeführt wird, führen Sie die Schritte im Abschnitt "Konfigurieren Analysis Services das Kerberos-Authentifizierungsprotokoll verwenden".
  • Ein Authentifizierungsanbieter aushandeln muss zu Kerberos-Authentifizierung auf dem IIS-Server aktiviert sein. Für Weitere Informationen klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

    215383 zum Konfigurieren von IIS das Kerberos-Protokoll und das NTLM-Protokoll für Netzwerkauthentifizierung zu unterstützen

  • Die Uhr für den Kerberos-Client und dem Domänencontroller muss so genau wie möglich synchronisiert werden. Weitere Informationen zu den maximalen zeitlichen Unterschied finden Sie auf der folgenden Microsoft-Website:

Wenn Sie alle Schritte überprüft haben und Kerberos noch nicht verwenden, gehen Sie im folgenden Knowledge Base-Artikel Weitere Informationen zur Problembehandlung von Systemereignisprotokoll sammeln:
Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
262177 so Protokollierung aktivieren

Referenzen

Weitere Informationen zum Konfigurieren einer SQL Server 2000 Analysis-Servercomputer Kerberos-Authentifizierung klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

828280 zum Konfigurieren einer Instanz von SQL Server 2000 Analysis Services verwenden

Weitere Informationen zu TechNet Support WebCast für dieses Thema finden Sie im folgende Artikel der Microsoft Knowledge Base:

916962 TechNet Support WebCast: Konfigurieren von Microsoft SQL Server 2005 Analysis Services Kerberos-Authentifizierung

Wenn auf dem Computer der mittleren Ebene Microsoft SharePoint Portal Server installiert ist, kann das virtuelle Verzeichnis konfiguriert werden nur NTLM-Authentifizierung. Weitere Informationen zum Aktivieren des virtuellen Verzeichnis (Kerberos) verwendet, finden Sie im folgenden Artikel der Microsoft Knowledge Base:

832769 wie konfigurieren ein virtuelles Windows SharePoint Services-Servers zur Kerberos-Authentifizierung und wechseln von Kerberos-Authentifizierung zurück zur NTLM-Authentifizierung

Eigenschaften

Artikelnummer: 917409 – Letzte Überarbeitung: 16.01.2017 – Revision: 1

Microsoft SQL Server 2008 Analysis Services, Microsoft SQL Server 2005 Analysis Services

Feedback