Проверка подлинности Kerberos для служб SQL Server Analysis Services (SharePoint Server 2010)

 

Применимо к: SharePoint Server 2010

Последнее изменение раздела: 2016-11-30

В этом сценарии выполняются следующие действия:

  • Настройка экземпляров службы Analysis Services в кластере SQL Server 2008 R2 для использования проверки подлинности Kerberos

  • Проверка возможности проверки подлинности клиента в кластере с использованием протокола Kerberos

Включение проверки подлинности Kerberos для служб SQL Server Analysis Services выполняется аналогично SQL Server

Примечание

При установке в среде Windows Server 2008 может потребоваться установка следующего исправления для проверки подлинности Kerberos:
Сбой проверки подлинности Kerberos, вместе с кодом ошибки 0X80090302 или 0x8009030f на компьютере под управлением Windows Server 2008 или Windows Vista при использовании алгоритма AES (https://support.microsoft.com/kb/969083/ru-ru)

Контрольный список для настройки

Область настройки Описание

Настройка Active Directory

Создание имен участников-служб для экземпляра Analysis Services

Проверка конфигурации SQL Kerberos

Подключение к экземпляру служб Analysis Services в Excel 2010

Пошаговые инструкции по настройке

Настройка Active Directory

Для проверки подлинности клиентов служб SQL Server Analysis Services с использованием протокола Kerberos необходимо зарегистрировать имя участника-службы для учетной записи службы, под которой выполняется SQL Server. Имя участника-службы для экземпляра Analysis Services по умолчанию имеет следующий формат:

MSOLAPSvc.3/<полное_доменное_имя>

Если используется именованный экземпляр служб Analysis Services, нельзя указывать номер порта после двоеточия. В таком случае он интерпретируется как часть имени узла или доменного имени. Вместо этого для правильной работы всех функций необходимо использовать фактическое имя экземпляра.

MSOLAPSvc.3/<полное_доменное_имя>:имя_экземпляра

Дополнительные сведения о регистрации имен участников-служб для SQL Server 2008 см. в статье https://support.microsoft.com/kb/917409/ru-ru.

В этом сценарии используется экземпляр Analysis Services по умолчанию. Для настройки имени участника-службы Analysis Services для учетной записи службы Analysis Services (vmlab\svcSQLAS) используется следующая команда SetSPN:

SetSPN -S MSOLAPSvc.3/MySQLCluster.vmlab.local vmlab\svcSQLAS

Именованные экземпляры SQL Server

Если вместо экземпляра по умолчанию используются именованные экземпляры SQL Server, необходимо зарегистрировать имена участников-служб, относящиеся к экземпляру SQL Server и службе браузера SQL Server. Дополнительные сведения о настройке проверки подлинности Kerberos для именованных экземпляров см. в следующих статьях:

Проверка конфигурации SQL Server Kerberos

После настройки имени участника-службы проверьте подключение Kerberos к кластеру с использованием Excel 2010.

  1. Откройте приложение Excel 2010 на клиентском компьютере под учетной записью домена, которая обладает доступом как минимум к одной базе данных в экземпляре служб Analysis Services, и откройте подключение к данным экземпляра Analysis Services; для этого перейдите на вкладку Данные, выберите элемент Из других источников и затем щелкните Из служб аналитики.

  2. В мастере подключения данных введите MySQLCluster в поле Имя сервера и нажмите кнопку Далее. Если проверка подлинности Kerberos работает, откроется список баз данных, для которых вам назначены разрешения на просмотр.

    Примечание

    Демонстрационную базу данных AdventureWorks 2008 R2 можно загрузить со страницы проектов и образцов сообщества Microsoft SQL Server (Возможно, на английском языке); после загрузки следуйте инструкциям по установке.

  3. Откройте средство просмотра событий на сервере баз данных (vmsql2k8r2-01). В журнале системы безопасности должны присутствовать сведения об успешном аудите, аналогичные тем, которые отображались на шагах проверки для сценария 2 Проверка подлинности Kerberos для SQL OLTP (SharePoint Server 2010).