В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету
Войти

при настройке экземпляра служб аналитики SQL Server 2000 при использовании проверки подлинности Kerberos

ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.

828280
Заявление об отказе относительно содержимого статьи о продуктах, поддержка которых прекращена
Эта статья содержит сведения о продуктах, поддержка которых корпорацией Майкрософт прекращена. Поэтому она предлагается как есть и обновляться не будет.
Аннотация
При подключении к компьютеру, на котором выполняется SQL Server 2000 Analysis Services и что подключение включает в себя сценарии прыжка двойной проверки подлинности Kerberos необходимо использовать в качестве протокола проверки подлинности. в них двойной проверки подлинности компьютера может передать учетные данные компьютере с Microsoft Internet Information Services ( IIS ) . Компьютера, на котором запущены службы IIS затем должен передать учетные данные входа в систему на компьютере сервера анализа данных. В данной статье описывается настройка компьютера сервера анализа данных используется Kerberos протокола проверки подлинности.

настроить сервер анализ с помощью протокола Kerberos

чтобы настроить сервер анализ использования протоколов проверки подлинности Kerberos , выполните следующие действия .
  1. установка пакета обновления 3 ( SP3 ) для анализа службы и последующего компьютеры к систему анализа и анализа компьютера .
  2. Зарегистрируйте имя участника службы (SPN) для анализа служб службы (MSSQLServerOLAPService) на компьютере сервера анализа данных.

    Примечание.Если служба MSSQLServerOLAPService выполняется в контексте безопасности учетной записи LocalSystem, имя SPN создается автоматически. MSSQLServerOLAPService служба в контексте безопасности учетной записи , отличной от учетной записи LocalSystem , необходимо создать его вручную . для этого программа Setspn.exe в Microsoft Windows 2000 Resource Kit . Для загрузки программы Setspn, посетите следующий веб-узел корпорации Майкрософт:После загрузки программы Setspn, выполните следующие действия.
    1. Чтобы создать SPN для компьютера сервера анализа данных, на котором выполняется под учетной записью домена, выполните следующую команду в командной строке:
      full_path_of_Setspn.exeserverHostNamedomainNameserverHostName OLAP_Service_Startup_Account
    2. если необходимо создать SPN для анализа систему с учетной записи LocalSystem , выполните следующую команду в командной строке .
      full_path_of_Setspn.exe
    3. Чтобы проверить, был ли создан для анализа имени участника службы компьютера сервера, выполните в командной строке следующие команды:
      full_path_of_Setspn.exe
      full_path_of_Setspn.exehostName
    4. Если имя участника службы был успешно создан для анализа компьютер сервера, результаты команда, выполняемая на шаге 2а или шаге 2b обычно отображаются в следующем формате:
      MSOLAPSvc/serverHostName.domainName MSOLAPSvc/serverHostName
  3. предоставление следующих прав учетной записи пользователя домена , используемой учетной записи входа службы MSSQLServerOLAPService .
    • Вход в качестве службы
    • Работа в режиме операционной системы
    • Замена маркера уровня процесса
    • создание маркерного объекта
    Примечание.Вы можете предоставить права доступа к учетной записи пользователя домена с помощью локальной политики безопасности программы в меню Администрирование в панели управления.
  4. предоставить полный доступ в группу Windows администраторы OLAP папки BIN и данные папки установки служб Analysis Services . путь этих папок на сервере анализа данных могут быть следующие :
    • анализ C:\Program Files\Microsoft Services\BIN
    • Анализ C:\Program Files\Microsoft Services\Data
  5. Добавьте учетную запись пользователя домена в качестве члена OLAP группы администраторов Windows.
  6. Если базы данных служб Analysis Services была перенесена на SQL Server, учетная запись пользователя домена должен иметь права db_owner в базе данных репозитория.

настройка анализа серверов и служб Analysis Services клиента

убедитесь , что , в следующих условий для анализа серверы и клиентские компьютеры служб Analysis Services .
  • анализ компьютеры , с Microsoft Windows 2000 или более .
  • Компьютеры сервера анализа данных, в Windows одного и того же домена или в доменах Windows, имеющих двусторонние доверительные отношения доверия. Домены Windows используются службы каталогов Active Directory.
  • Система начинает работать на анализ, серверные компьютеры синхронизированы. чтобы синхронизировать системные часы ,чистое времяКоманда:. Для получения дополнительных сведений очистое времякоманда, посетите следующий веб-узел корпорации Майкрософт:
  • надписьюЗоны обратного просмотранастройки свойств компьютеров сервера анализа .

    Примечание.службы analysis Services выполняется просмотр компьютера ip - адреса для разрешения имен NetBIOS .

    Для получения дополнительных сведений о том, как создавать зоны обратного просмотра, щелкните следующий номер статьи базы знаний Майкрософт:
    308201Инструкции по созданию новой зоны на DNS-сервера в Windows 2000
  • надписьюПредпочитаемый DNSпараметр все команды одного сервера доменных имен ( DNS ) в домене Windows клиента служб Analysis Services . дополнительные сведения об основной сервер DNS следующим веб - узле майкрософт .

Настройка параметров службы каталогов Active Directory

Убедитесь, что для настройки службы каталогов Active Directory, все следующие условия:
  • надписьюУчетная запись важна и не может быть делегированапараметр не включен для учетных записей пользователей, которые будут делегированы.
  • надписьюУчетная запись доверена для делегированияsetting is not enabled for user accounts that will be delegated.
  • If a domain account is used to log on to the MSSQLServerOLAPService service, theAccount is trusted for delegationsetting is enabled for the domain account.
  • надписьюAccount is trusted for delegationsetting is enabled for the process account for any COM+ component.
  • надписьюTrust computer for delegationsetting is enabled on the computer that is running IIS.

Configure Analysis Services client computers

Make sure that both of the following conditions are true on the Analysis Services client computers:
  • Microsoft Internet Explorer 5.0 or later is installed.
  • If Internet Explorer 6.0 is installed on the computer, enable theВключить интегрированную проверку подлинности Windows (требуется перезапуск)security option.

    Примечание.надписьюВключить интегрированную проверку подлинности Windows (требуется перезапуск)option is undersecurityв менювкладка «Дополнительно».вкладкиСвойства обозревателя«Свойства системы».. You may have to restart the computer for this setting to take effect.

Configure the settings on the computer that is running IIS

Configure the IIS metabase to use both Negotiate and NTLM.For more information about how to do this, click the following article number to view the article in the Microsoft Knowledge Base:
215383Настройка служб IIS для поддержки протоколов Kerberos и NTLM с целью проверки подлинности в сети (эта ссылка может указывать на содержимое полностью или частично на английском языке)
If the IIS application pool is running under a domain account, follow these steps:
  1. Create an HTTP SPN for this account. To do this, run the following command at a command prompt:
    Setspn -a HTTP/FQDNMyAppPoolServiceAccount
    Примечание.ГдеFQDNis the fully qualified domain name of the computer that is running IIS.MyAppPoolServiceAccountis the account that the IIS application pool uses.
  2. Grant the application pool account the "Act as a part of the operating system" user right and the "Impersonate a client after authentication" user right.
Make sure that the following conditions are true on the computer that is running IIS in a double-hop authentication scenario:
  • The following settings are configured in IIS for the Web site or for the virtual directory that was created for the client Web application:
    • The authentication method for the directory security is set toIntegrated Windows authentication (встроенная проверка подлинности Windows);илиBasic Authentication.
    • The application protection level is set toHigh (Isolated).
  • The following Component Services settings are configured for the Web site or for the virtual directory that was created for the client Web application:
    • The impersonation level for the COM+ packages is set toДелегат. узнать уровень олицетворения , посетите веб - узла корпорации майкрософт .
    • учетную запись домена имеет значение удостоверения приложения COM + пакетов которогоучетная запись доверена для делегированиявключен . Для получения дополнительных сведений об установке удостоверения приложения посетите следующий веб-узел корпорации Майкрософт:
  • Содержит строку подключения, которая используется на клиентском компьютере служб Analysis Services для подключения к компьютеру сервера анализа данныхSSPI = KerberosParameter:.
  • счета , если она MSSQLServerOLAPService в домене , строка подключения , используемые службами Analysis Services содержит компьютера к компьютеру сервера анализаSSPI = Kerberosпараметр и использует полное доменное имя сервера анализа данных.
  • Возможно, придется создать и зарегистрировать имя SPN для компьютера, на котором запущены службы IIS. создать имя участника службы компьютера со службами IIS , выполните следующую команду в командную строку из папки программы Setspn .
    setspn -A http/IIS Computer Name IIS Computer Name
    Чтобы вручную зарегистрировать имя SPN для компьютера, на котором запущены службы IIS, выполните действия, описанные в "Настройка служб Analysis Services используется Kerberos протокола проверки подлинности» данной статьи.
Ссылки
Дополнительные сведения см. в следующих статьях базы знаний Майкрософт::
319723Использование проверки подлинности Kerberos в SQL Server
326985Устранение неполадок с проверкой подлинности Kerberos на сервере IIS
283201Как в Windows 2000 использовать делегирование при помощи COM+
215383Настройка служб IIS для поддержки протоколов Kerberos и NTLM с целью проверки подлинности в сети (эта ссылка может указывать на содержимое полностью или частично на английском языке)
266080Вопросы и ответы о проверке подлинности Kerberos
176377Доступ к SQL Server со встроенной безопасностью из ASP
301423Установка средств поддержки Windows 2000 на компьютер под управлением Windows 2000 Server (эта ссылка может указывать на содержимое полностью или частично на английском языке)
917409Как настроить SQL Server 2005 Analysis Services на использование проверки подлинности Kerberos
Анализ службы проверки подлинности kerberos двойного прыжка

Предупреждение: эта статья переведена автоматически

Свойства

Номер статьи: 828280 — последний просмотр: 11/25/2010 10:54:00 — редакция: 2.0

  • Microsoft SQL Server 2000 Analysis Services
  • kbkerberos kbcomservices kbclientserver kbactivedirectory kbsecurity kbuser kbauthentication kbcommandline kbservice kbserver kbdatabase kbhowtomaster kbmt KB828280 KbMtru
Отзывы и предложения