Comment faire pour configurer SQL Server 2008 Analysis Services et SQL Server 2005 Analysis Services pour utiliser l'authentification Kerberos

IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d’une traduction incorrecte du contenu ou de son utilisation par les clients.

La version anglaise de cet article est la suivante: 917409
Résumé
Lorsqu'une connexion est établie sur un ordinateur qui exécute Microsoft SQL Server 2008 Analysis Services ou Microsoft SQL Server 2005 Analysis Services et que connexion implique un scénario de l'authentification à deux bonds, vous devez utiliser Kerberos comme protocole d'authentification. Par exemple, dans un scénario de l'authentification à deux bonds, un ordinateur client peut passer les informations d'identification d'ouverture de session sur un ordinateur qui exécute Microsoft Internet Information Services (IIS). L'ordinateur qui exécute IIS doit puis passez les informations d'identification d'ouverture de session sur le serveur Analysis Services. Les étapes que vous devez suivre diffèrent des étapes pour SQL Server 2000 Analysis Services.
INTRODUCTION
Cet article décrit comment configurer SQL Server 2008 Analysis Services et SQL Server 2005 Analysis Services pour utiliser l'authentification Kerberos.
Plus d'informations

Configurer un serveur Analysis Services pour utiliser le protocole d'authentification Kerberos

Enregistrez un nom Principal de Service (SPN, service principal name) pour le service Analysis Services sur le serveur Analysis Services. Si le service Analysis Services s'exécute sous le contexte de sécurité du compte LocalSystem dans SQL Server 2000, il se peut que le SPN est créé automatiquement. Toutefois, vous devez créer manuellement le SPN dans SQL Server 2008 et SQL Server 2005 comme vous créez le SPN dans SQL Server 2000 lorsque le service Analysis Services s'exécute sous le contexte de sécurité d'un compte autre que le compte LocalSystem. Pour créer le nom principal de service, utilisez l'utilitaire Setspn.exe dans le Kit de ressources Microsoft Windows 2000. Cet outil est également inclus dans les outils de Support de Windows Server 2003. Les outils de Support de Windows Server 2003 sont inclus dans Windows Server 2003 Service Pack 1 (SP1).

Pour télécharger l'utilitaire setspn fourni dans le Kit de ressources Windows 2000, visitez le site Web de Microsoft à l'adresse suivante : Pour plus d'informations sur la façon de télécharger l'outil Setspn.exe pour Windows Server 2003, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
970536 Mise à jour du outil Setspn.exe prise en charge de Windows Server 2003
Après avoir téléchargé l'utilitaire Setspn, procédez comme suit.

Remarque Vous devez être membre du groupe Administrateurs du domaine pour exécuter la commande Setspn . Si l'instance de Analysis Services est en clusters, utilisez le nom virtuel de Analysis Services en tant que le nom de domaine pleinement qualifié (FQDN).
  1. Pour créer le nom principal de service pour le serveur Analysis Services qu'isrunning sous un compte de domaine, exécutez les commandes suivantes à l'invite de commande :
    • MSOLAPSvc.3/ -S de Setspn.exeFully_Qualified_domainName OLAP_Service_Startup_Account

      Remarque : Fully_Qualified_domainName est un espace réservé pour le nom de domaine complet.
    • MSOLAPSvc.3/ -S de Setspn.exeserverHostName OLAP_Service_Startup_Account
  2. Si vous devez créer le nom principal de service pour les Services d'analyse de serveur auquel s'exécute sous le compte LocalSystem, exécutez les commandes suivantes à l'invite d'acommand :
    • MSOLAPSvc.3/ -S de Setspn.exeFully_Qualified_domainName serverHostName
    • MSOLAPSvc.3/ -S de Setspn.exeserverHostName serverHostName
  3. Pour vérifier si le nom principal de service a été créé pour le serveur AnalysisServices, exécutez les commandes suivantes à l'invite de commande.
    Setspn.exe -L OLAP_Service_Startup_Account Setspn.exe -L serverHostName
    Si le nom principal de service a été créé pour le serveur Analysis Services, les résultats de cette commande s'affichent généralement sous la forme suivante.
    MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName MSOLAPSvc.3/serverHostName
Remarque SQL Server 2005 Analysis Services peut fonctionner comme une instance nommée. Ce n'est pas pris en charge dans SQL Server 2000 Analysis Services. Si vous utilisez une instance nommée, les mêmes étapes s'appliquent. Toutefois, vous devez configurer les formats de nom principal de service suivants. Contrairement avec le moteur de SQL Server, vous ne pouvez pas spécifier un port après le signe deux-points. Vous devez utiliser le nom de l'instance réelle de toutes les fonctionnalités de fonctionner correctement.
MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName:instanceNameMSOLAPSvc.3/serverHostName:instanceName

Configurer les paramètres d'Active Directory

Assurez-vous que toutes les conditions suivantes sont vraies pour les paramètres de service d'annuaire Active Directory :
  • Le paramètre de compte est sensible et ne peut pas le bedelegated n'est pas activé pour les comptes d'utilisateur qui seront bedelegated.
  • Le paramètre de compte est approuvé pour la délégation est activé pour le compte de domaine de la couche intermédiaire qui se connecte à Analysis Services. Par exemple, si IIS est la couche intermédiaire et d'un compte de domaine est utilisé pour le pool d'applications, qui compte domaine du pool d'applications doit être compte est approuvé pour la délégation paramètre activé.
  • Le compte est approuvé pour la délégationest activé pour les comptes de tous les services et COM + des composants qui sont impliqués dans le processus.
  • La settingis Approuver l'ordinateur pour la délégation est activée pour tous les ordinateurs impliqués dans le processus.
Remarque Tous les comptes et les serveurs qui sont impliqués dans le processus doivent appartenir au même domaine Active Directory ou de domaines approuvés dans la même forêt. Si vous avez des forêts Windows 2003 natifs et vous souhaitez plus d'informations sur la façon d'activer la délégation d'entre forêts, reportez-vous à la section « Approbations de forêt » du site Web de Microsoft à l'adresse suivante :

Configurer les ordinateurs clients de Analysis Services

Assurez-vous que les conditions suivantes sont remplies sur les ordinateurs clients de Analysis Services :
  • Microsoft Internet Explorer 5.0 ou une isinstalled version ultérieure.
  • Si Internet Explorer 6 est installé sur l'ordinateur, l'option de sécuritéActiver l'authentification intégrée de Windows (nécessite un redémarrage)est activée.
  • Si Analysis Services est une instance nommée, vous devez créer le SPN MSOLAPDisco.3 SQL du navigateur. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    950599 Un SPN pour le service SQL Server Browser est requis lorsque vous établissez une connexion à une instance nommée de SQL Server 2005 Analysis Services ou de SQL Server 2005
Remarque L'option Activer l'authentification intégrée de Windows (nécessite un redémarrage) se trouve sous sécurité sous l'onglet Avancé dans la boîte de dialogue Options Internet . Vous devrez peut-être redémarrer l'ordinateur pour que ce paramètre prenne effet.

Configurer les paramètres sur l'ordinateur qui exécute IIS

Assurez-vous que les conditions suivantes sont remplies sur l'ordinateur qui exécute IIS dans un scénario de l'authentification à deux bonds :
  • Les paramètres suivants sont configurés dans IIS pour le site Web ou du répertoire virtuel qui a été créé pour l'application Web du client :
    • La méthode d'authentification pour la sécurité du répertoire est définie pour L'authentification Windows intégrée ou L'authentification de base.
    • Le niveau de protection d'application est défini sur haute (isolé).
  • Les paramètres de Services de composants suivants sont configuredfor le site Web ou du répertoire virtuel qui a été créé pour l'application de clientWeb :
    • Le niveau d'emprunt d'identité pour les packages COM + est défini pour un délégué. Pour plus d'informations sur la façon de définir un niveau d'emprunt d'identité, visitez le site Web de Microsoft à l'adresse suivante :
    • L'identité de l'application pour les packages COM + est définie dans un compte de domaine Windows dans lequel le paramètre de compte est approuvé pour la délégation est activé. Pour plus d'informations sur la façon de définir l'identité d'une application, visitez le site Web de Microsoft à l'adresse suivante :
  • La chaîne de connexion utilisée pour se connecter au serveur Analysis Services par l'ordinateur Servicesclient d'analyse contient le SSPI = Kerberos paramètre.
  • Dans la chaîne de connexion, le nom de source de données a beeither le nom de domaine pleinement qualifié (FQDN) ou un nom NETBIOS. Par exemple, le nom de domaine complet peut êtremyhost.mondomaine.com et le nom NETBIOS peuvent être Mon nom d'hôte. Si vous spécifiez les adresses IP d'anumeric, l'authentification Kerberos est désactivée.
  • Un nom principal de service pour l'ordinateur qui exécute IIS peut avoir à becreated et enregistré. Le SPN qui doit être créé dépend du nom de l'ordinateur ou du nom d'hôte, et de de l'identité du pool d'applications. Pour plus d'informations sur la façon de créer un SPN pour l'ordinateur qui exécute IIS, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    929650 Comment utiliser SPN lorsque vous configurez des applications Web qui sont hébergées sur IIS 6.0
    setspn -S http/IISComputerName IISComputerName
    Pour inscrire manuellement un nom principal de service pour l'ordinateur qui exécute IIS, followthe les étapes dans la section « Configurer Analysis Services pour utiliser le protocole de Kerberosauthentication ».
  • Un fournisseur d'authentification de négociation doit être activé sur le serveur IIS pour permettre l'authentification Kerberos. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    215383 Comment faire pour configurer IIS pour prendre en charge les à la fois le protocole Kerberos et le protocole NTLM pour l'authentification réseau
  • L'horloge du contrôleur de domaine et le client Kerberos doit être synchronisé aussi étroitement que possible. Pour plus d'informations sur la différence de temps maximale, visitez le site Web de Microsoft à l'adresse suivante :
Si vous avez vérifié toutes ces étapes et que vous ne pouvez toujours pas utiliser Kerberos, suivez les étapes décrites dans l'article suivant de la Base de connaissances pour rassembler des informations de dépannage plus du journal des événements système : Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
262177 Comment faire pour activer l'enregistrement d'événements Kerberos
Références
Pour plus d'informations sur la façon de configurer un ordinateur de serveur d'analyse de SQL Server 2000 pour utiliser l'authentification Kerberos, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
828280 Comment faire pour configurer une instance de SQL Server 2000 Analysis Services pour utiliser l'authentification Kerberos
Pour plus d'informations sur le WebCast de Support TechNet pour ce sujet, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
916962 WebCast de support technique TechNet : Configuration de Microsoft SQL Server 2005 Analysis Services pour l'authentification Kerberos
Si Microsoft SharePoint Portal Server est installé sur l'ordinateur de couche intermédiaire, le répertoire virtuel peut être configuré pour autoriser uniquement l'authentification NTLM. Pour plus d'informations sur la façon d'activer le répertoire virtuel permettre à négocier (Kerberos) l'authentification, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
832769 Comment faire pour configurer un serveur virtuel de Windows SharePoint Services pour utiliser l'authentification Kerberos et comment faire pour passer de l'authentification Kerberos à l'authentification NTLM

Avertissement : Cet article a été traduit automatiquement.

Propiedades

Id. de artículo: 917409 - Última revisión: 07/25/2015 12:03:00 - Revisión: 10.0

Microsoft SQL Server 2008 Analysis Services, Microsoft SQL Server 2005 Analysis Services

  • kbsqlsetup kbexpertiseadvanced kbsql2005as kbhowto kbmt KB917409 KbMtfr
Comentarios