Konfigurieren von HTTP-Zugriff auf Analysis Services unter Internetinformationsdienste (IIS) 7,0

  • Artikel

Sie können den HTTP-Zugriff auf Analysis Services aktivieren, indem Sie MSMDPUMP.dll konfigurieren, eine ISAPI-Erweiterung, die in Internetinformationsdienste ausgeführt wird und Datapump zu und von Clientanwendungen und einem Analysis Services-Server ausführt. Dieser Ansatz bietet eine Alternative zum Herstellen einer Verbindung mit Analysis Services, wenn die BI-Lösung die folgenden Funktionen erfordert:

  • Der Clientzugriff erfolgt über Internet- oder Extranetverbindungen, mit Einschränkungen dazu, welche Ports aktiviert werden können,

  • Clientverbindungen stammen von nicht vertrauenswürdigen Domänen im selben Netzwerk.

  • Die Clientanwendung wird in einer Netzwerkumgebung ausgeführt, die HTTP-, jedoch keine TCP/IP-Verbindungen unterstützt.

  • Andere Authentifizierungsmethoden als die integrierte Sicherheit von Windows sind erforderlich. Sie können insbesondere anonyme Verbindungen und die Standardauthentifizierung verwenden, wenn Sie Analysis Services für den HTTP-Zugriff konfigurieren. Die Digest-, Formular- und ASP.NET-Authentifizierung werden nicht unterstützt.

  • Die Analysis Services-Clientbibliotheken können von Clientanwendungen nicht verwendet werden (z. B. eine Java-Anwendung, die auf einem UNIX-Server ausgeführt wird). Wenn es nicht möglich ist, die Analysis Services-Clientbibliotheken für den Datenzugriff zu verwenden, können Sie SOAP und XML/A über eine direkte HTTP-Verbindung zu einer Analysis Services-Instanz verwenden.

In diesem Thema wird erläutert, wie der HTTP-Zugriff auf eine Analysis Services-Instanz mit IIS 7.0 eingerichtet wird. Diese Anweisungen gelten für alle unterstützten Versionen oder Editionen einer Analysis Services-Instanz, die mit IIS 7.0 verbunden ist, einschließlich SQL Server 2012, SQL Server 2008 R2, SQL Server 2008 und SQL Server 2005. Der HTTP-Zugriff wird sowohl für Server mit tabellarischem Modus als auch mehrdimensionalem Modus unterstützt.

HinweisHinweis

Die unterstützten Authentifizierungsmethoden variieren abhängig von den Client- und Serveranwendungen in der BI-Struktur. Weitere Informationen zu Szenarien, die über den HTTP-Zugriff auf Analysis Services ermöglicht werden, finden Sie unter Microsoft BI-Authentifizierung und Identitätsdelegierung.

Dieses Thema enthält folgende Abschnitte:

  • Übersicht

  • Voraussetzungen

  • Kopieren der MSMDPUMP.dll in einen Ordner auf dem Webserver

  • Erstellen eines Anwendungspools und eines virtuellen Verzeichnisses in IIS

  • Konfigurieren der IIS-Authentifizierung und Hinzufügen der Erweiterung

  • Bearbeiten der Datei MSMDPUMP.INI zum Festlegen des Zielservers

  • Testen der Konfiguration

Übersicht

MSMDPUMP ist eine ISAPI-Erweiterung, die in IIS geladen wird und die Umleitung zu einer Analysis Services-Instanz bereitstellt, die sich auf demselben Computer oder einem Remotecomputer innerhalb derselben Domäne befindet. Durch die Konfiguration dieser ISAPI-Erweiterung erstellen Sie einen HTTP-Endpunkt für eine Analysis Services-Instanz.

Sie müssen ein virtuelles Verzeichnis für jeden HTTP-Endpunkt erstellen und konfigurieren. Jeder Endpunkt erfordert für jede Analysis Services-Instanz, mit der Sie eine Verbindung herstellen möchten, eine eigene MSMDPUMP-Dateigruppe. In einer Konfigurationsdatei innerhalb der Dateigruppe ist der Name der für die einzelnen HTTP-Endpunkte verwendeten Analysis Services-Instanz angegeben.

In IIS stellt MSMDPUMP mithilfe des Analysis Services OLE DB-Anbieters über TCP/IP eine Verbindung mit Analysis Services her. Analysis Services und IIS müssen sich in derselben Domäne oder in vertrauenswürdigen Domänen befinden, damit die systemeigene Verbindung hergestellt werden kann.

Die Verbindung von MSMDPUMP zu Analysis Services wird mit einer Windows-Benutzeridentität hergestellt. Dabei kann es sich um das anonyme Konto handeln, wenn Sie das virtuelle Verzeichnis für anonyme Verbindungen konfiguriert haben, oder um ein Windows-Benutzerkonto. Das Konto muss über die entsprechenden Datenzugriffsberechtigungen für Analysis Services-Server und -Datenbank verfügen.

HinweisHinweis

Achten Sie darauf, die Blockierung der Ports in der Windows-Firewall aufzuheben, um Clientverbindungen zu einem Analysis Services-Remoteserver zuzulassen. Weitere Informationen finden Sie unter Konfigurieren der Windows-Firewall, um den Zugriff auf Analysis Services zuzulassen.

Diagramm von Verbindungen zwischen Komponenten

In der folgenden Tabelle sind zusätzliche Überlegungen für das Aktivieren des HTTP-Zugriffs in verschiedenen Szenarien aufgeführt.

Szenario

Konfiguration

IIS und Analysis Services auf demselben Computer

Dies ist die einfachste Konfiguration, da dadurch die Standardkonfiguration (mit dem Servernamen "localhost"), der lokale Analysis Services OLE DB-Anbieter sowie die integrierte Sicherheit von Windows mit NTLM verwendet werden können. Vorausgesetzt, der Client befindet sich ebenfalls in derselben Domäne, ist die Authentifizierung für den Benutzer transparent, ohne zusätzliche Arbeit Ihrerseits.

IIS und Analysis Services auf verschiedenen Computern

Bei dieser Topologie muss der OLE DB-Anbieter für Analysis Services auf dem Webserver installiert werden. Außerdem muss die Datei msmdpump.ini so bearbeitet werden, dass der Speicherort der Analysis Services-Instanz auf dem Remotecomputer angegeben wird.

Diese Topologie fügt einen Doppelhop-Authentifizierungsschritt hinzu, bei dem Anmeldeinformationen vom Client an den Webserver und dann an den Analysis Services-Back-End-Server geleitet werden müssen. Wenn Sie Windows-Anmeldeinformationen und NTLM verwenden, wird ein Fehler ausgegeben, da NTLM keine Delegierung von Clientanmeldeinformationen an einen zweiten Server zulässt. Die gebräuchlichste Lösung ist die Verwendung der Standardauthentifizierung mit SSL (Secure Sockets Layer). Dabei müssen die Benutzer jedoch einen Benutzernamen und ein Kennwort eingeben, wenn Sie auf das virtuelle Verzeichnis MSMDPUMP zugreifen. Ein einfacherer Ansatz wäre, Kerberos zu aktivieren und die eingeschränkte Delegierung von Analysis Services zu konfigurieren, sodass Benutzer auf Analysis Services in transparenter Weise zugreifen können.

Bestimmen Sie, für welche Ports die Blockierung in der Windows-Firewall aufgehoben werden muss. Sie müssen die Blockierung von Ports auf beiden Servern aufheben, um Zugriff auf die Webanwendung in IIS und auf Analysis Services auf einem Remoteserver zu gewähren.

Clientverbindungen stammen von einer nicht vertrauenswürdigen Domäne oder einer Extranetverbindung

Clientverbindungen von einer nicht vertrauenswürdigen Domäne führen zu weiteren Einschränkungen bei der Authentifizierung. In der Standardeinstellung verwendet Analysis Services die integrierte Windows-Authentifizierung, bei der sich Benutzer in derselben Domäne wie der Server befinden müssen. Extranetbenutzer, die von außerhalb der Domäne eine Verbindung zu IIS herstellen, erhalten einen Verbindungsfehler, wenn der Server für die Verwendung der Standardeinstellungen konfiguriert ist.

Als Problemumgehung können Extranetbenutzer eine Verbindung über ein VPN mit Domänenanmeldeinformationen herstellen. Ein besserer Ansatz könnte jedoch sein, die Standardauthentifizierung und SSL auf der IIS-Website zu aktivieren.

Voraussetzungen

Stellen Sie sicher, dass auf dem IIS-Webserver der Analysis Services-OLE-Datenbankanbieter (MSOLAP) für SQL Server 2012 installiert ist. Sie können den Anbieter über das SQL Server 2012 Feature Pack herunterladen.

Schritt 1: Kopieren der MSMDPUMP-Dateien in einen Ordner auf dem Webserver

Jeder erstellte HTTP-Endpunkt muss über eine eigene MSMDPUMP-Dateigruppe verfügen. In diesem Schritt kopieren Sie die ausführbare MSMDPUMP-Datei, die Konfigurationsdatei und Ressourcendateien aus den Analysis Services-Programmordnern in einen neuen virtuellen Verzeichnisordner, den Sie im Dateisystem des Computers erstellen, auf dem IIS ausgeführt wird.

Das Laufwerk muss für das NTFS-Dateisystem formatiert sein. Der Pfad zum Ordner, den Sie erstellen, darf keine Leerzeichen enthalten.

  1. Suchen Sie die Dateien, die Sie kopieren müssen: MSMDPUMP.DLL, MSMDPUMP.INI und einen Ordner namens Resources mit Sprachressourcendateien. Sie finden diese Dateien unter <Laufwerk>:\Programme\Microsoft SQL Server\<Instanz>\OLAP\bin\isapi.

    HinweisHinweis

    Beachten Sie, dass sich das Format des Instanznamens in neueren Versionen von SQL Server geändert hat. Wenn Sie SQL Server 2012 verwenden, lautet der Name der Standardinstanz "MSAS11.MSSQLSERVER".

  2. Kopieren Sie alle Dateien innerhalb des Ordners \OLAP\bin\isapi einschließlich des Inhalts des Unterordners Resources.

  3. Erstellen Sie auf dem Webserver einen neuen Ordner: <Laufwerk>:\inetpub\wwwroot\OLAP

  4. Fügen Sie die zuvor kopierten Dateien in diesen neuen Ordner ein.

  5. Stellen Sie sicher, dass der Ordner \inetpub\wwwroot\OLAP auf Ihrem Webserver die folgenden Elemente enthält: MSMDPUMP.DLL, MSMDPUMP.INI und einen Ordner namens Resources. Die Ordnerstruktur sollte wie folgt aussehen:

    • <Laufwerk>:\inetpub\wwwroot\OLAP\MSMDPUMP.dll

    • <Laufwerk>:\inetpub\wwwroot\OLAP\MSMDPUMP.ini

    • <Laufwerk>:\inetpub\wwwroot\OLAP\Resources

Schritt 2: Erstellen eines Anwendungspools und eines virtuellen Verzeichnisses in IIS

Als Nächstes erstellen Sie einen Anwendungspool und ein virtuelles Verzeichnis, das einen Endpunkt für die Datapump bereitstellt.

Erstellen eines Anwendungspools

  1. Starten Sie den IIS-Manager. Klicken Sie auf Start, zeigen Sie auf Ausführen, und geben Sie dann Inetmgr ein.

    Screenshot eines Ausführungsbefehls mit "Inetmgr"

  2. Klicken Sie mit der rechten Maustaste auf Anwendungspools, und klicken Sie dann auf Anwendungspool hinzufügen. Erstellen Sie einen Anwendungspool mit dem Namen OLAP mithilfe von .NET Framework v2.0.50727, wobei der verwaltete Pipelinemodus auf Klassisch festgelegt ist.

    Screenshot des Dialogfelds "Anwendungspool hinzufügen"

  3. Standardmäßig erstellt IIS Anwendungspools mithilfe des Netzwerkdienstes als Sicherheitsidentität. Um die Identität des gerade erstellten Anwendungspools zu ändern, klicken Sie mit der rechten Maustaste auf OLAP, und wählen Sie dann Erweiterte Einstellungen aus.

    Screenshot der Eigenschaftenseite "Erweiterte Einstellungen"

  4. Klicken Sie unter "Identität" auf das von IIS angegebene integrierte Konto. Abhängig von der verwendeten Windows-Version ist dies entweder Netzwerkdienst (wie im Screenshot dargestellt) oder ApplicationPoolIdentity. Klicken Sie auf die Schaltfläche Ändern für diese Eigenschaft, um das integrierte Konto durch das benutzerdefinierte Konto, das Sie verwenden möchten, zu ersetzen.

  5. In der Standardeinstellung wird auf einem 64-Bit-Betriebssystem die Eigenschaft 32-Bit-Anwendungen aktivieren von IIS auf false festgelegt. Wenn Sie msmdpump.dll von einer 64-Bit-Installation von Analysis Services kopiert haben, ist dies die richtige Einstellung für die MSMDPUMP-Erweiterung auf einem 64-Bit-IIS-Server. Wenn Sie die MSMDPUMP-Binärdateien von einer 32-Bit-Installation kopiert haben, setzen Sie die Eigenschaft auf true. Überprüfen Sie nun, ob die Eigenschaft richtig festgelegt wurde.

Erstellen eines virtuellen Verzeichnisses

  1. Öffnen Sie im IIS-Manager Websites, klicken Sie mit der rechten Maustaste auf Standardwebsite (bzw. auf die zum Zugriff auf Datapump verwendete Website), und klicken Sie dann auf Virtuelles Verzeichnis hinzufügen.

  2. Geben Sie im Alias OLAP ein.

  3. Klicken Sie unter Physischer Pfad auf die Schaltfläche zum Durchsuchen, und navigieren Sie zu C:\inetpub\wwwroot\OLAP. Klicken Sie auf OK.

    Screenshot des Dialogfelds "Virtuelles Verzeichnis hinzufügen"

  4. Klicken Sie mit der rechten Maustaste auf das gerade erstellte virtuelle OLAP-Verzeichnis, und klicken Sie dann auf In Anwendung konvertieren.

  5. Klicken Sie im Dialogfeld „Anwendung hinzufügen“ neben „Anwendungspool“ auf Auswählen, und wählen Sie dann den in der vorherigen Sitzung erstellten OLAP-Anwendungspool aus.

  6. Klicken Sie zweimal auf OK, um die Änderungen zu bestätigen und die Anwendung zu konvertieren.

Schritt 3: Konfigurieren der IIS-Authentifizierung und Hinzufügen der Erweiterung

In diesem Schritt führen Sie die Konfiguration des soeben erstellten virtuellen SSAS-Verzeichnisses fort. Sie geben eine Authentifizierungsmethode an und fügen dann eine Skriptzuordnung hinzu. Folgende Authentifizierungsmethoden werden für Analysis Services über HTTP unterstützt:

  • Windows-Authentifizierung (Kerberos oder NTLM)

  • Anonyme Authentifizierung

  • Standardauthentifizierung

Die anonyme Authentifizierung wird häufig in anfänglichen Testverfahren verwendet, weil sie einfach zu konfigurieren ist und hilft, die HTTP-Verbindung mit Analysis Services schnell zu überprüfen. In wenigen Schritten können Sie ein eindeutiges Benutzerkonto als Identität zuweisen, die Kontoberechtigungen in Analysis Services erteilen, über das Konto den Datenzugriff in einer Clientanwendung überprüfen und die anonyme Authentifizierung wieder deaktivieren, wenn die Tests abgeschlossen sind.

Sie können die anonyme Authentifizierung auch in einer Produktionsumgebung verwenden, wenn die Benutzer keine Windows-Benutzerkonten besitzen. Dabei sollten Sie jedoch die im folgenden Artikel beschriebenen bewährten Methoden befolgen und die Berechtigungen für das Hostsystem sperren: Aktivieren der anonymen Authentifizierung (IIS 7). Achten Sie darauf, die Authentifizierung für das virtuelle Verzeichnis und nicht für die übergeordnete Website festzulegen, um die Kontozugriffsebene weiter einzuschränken.

Falls die anonyme Authentifizierung aktiviert ist, kann jeder Benutzer als anonymer Benutzer eine Verbindung mit dem HTTP-Endpunkt herstellen. Sie sind nicht in der Lage, einzelne Benutzerverbindungen zu überwachen oder die Benutzeridentität zum Auswählen von Daten aus einem Modell zu verwenden. Folglich wirkt sich die Verwendung eines anonymen Kontos nicht nur auf den Modellentwurf, sondern auch auf die Datenaktualisierung und den Datenzugriff aus. Wenn Benutzer anfänglich jedoch keine Windows-Benutzeranmeldung besitzen, besteht in der Verwendung des anonymen Kontos u. U. Ihre einzige Alternative.

Die Windows-Authentifizierung wird als sicherste Authentifizierung angesehen und nutzt vorhandene Infrastrukturen für Netzwerke, die Active Directory verwenden. Damit die Windows-Authentifizierung optimal genutzt werden kann, muss sie von allen Browsern, Client- und Serveranwendungen unterstützt werden. Dies ist der sicherste und empfohlene Modus. Allerdings erfordert er, dass IIS auf einen Windows-Domänencontroller zugreifen kann, der die Identität des Benutzers authentifizieren kann, der eine Verbindung anfordert.

In Topologien, in denen sich Analysis Services und IIS auf verschiedenen Computern befinden, müssen Sie Vorkehrungen zur Behandlung von Doppelhopproblemen treffen, die auftreten, wenn eine Benutzeridentität an einen zweiten Dienst auf einem Remotecomputer delegiert werden muss. Dazu aktivieren Sie normalerweise Analysis Services für die eingeschränkte Kerberos-Delegierung. Weitere Informationen finden Sie unter Konfigurieren von Analysis Services für die eingeschränkte Kerberos-Delegierung.

Die Standardauthentifizierung wird verwendet, wenn Windows-Identitäten vorhanden sind, die Benutzerverbindungen aber von nicht vertrauenswürdigen Domänen hergestellt werden, wodurch keine delegierten Verbindungen bzw. Verbindungen mit angenommener Identität verwendet werden können. Bei der Standardauthentifizierung können Benutzeridentität und Kennwort in einer Verbindungszeichenfolge angegeben werden. Um eine Verbindung mit Analysis Services herzustellen, werden anstelle des Sicherheitskontexts des aktuellen Benutzers die Anmeldeinformationen in der Verbindungszeichenfolge verwendet. Da Analysis Services nur die Windows-Authentifizierung unterstützt, müssen alle übergebenen Anmeldeinformationen Windows-Benutzern oder -Benutzergruppen entsprechen, die der Domäne angehören, von der Analysis Services gehostet wird.

Festlegen des Authentifizierungstyps und hinzufügen einer Skriptzuordnung

  1. Öffnen Sie im IIS-Manager Websites, öffnen Sie Standardwebsite, und wählen Sie dann das virtuelle OLAP-Verzeichnis aus.

  2. Doppelklicken Sie im IIS-Abschnitt der Hauptseite auf Authentifizierung.

    Screenshot der Hauptseite des IIS-Managers

  3. Aktivieren Sie Windows-Authentifizierung, wenn Sie die integrierte Sicherheit von Windows verwenden.

    Screenshot von Vdir-Authentifizierungseinstellungen

  4. Aktivieren Sie alternativ Standardauthentifizierung, wenn sich Client- und Serveranwendung in verschiedenen Domänen befinden. Dieser Modus erfordert, dass der Benutzer einen Benutzernamen und ein Kennwort eingibt. Der Benutzername und das Kennwort werden über die HTTP-Verbindung an IIS übertragen. Beim Verbinden mit MSMDPUMP versucht IIS, unter Verwendung der bereitgestellten Anmeldeinformationen die Identität des Benutzers anzunehmen, die Anmeldeinformationen werden jedoch nicht an Analysis Services delegiert. Stattdessen müssen Sie einen gültigen Benutzernamen und ein Kennwort in einer Verbindung übergeben, wie in Schritt 6 in diesem Dokument beschrieben.

    SicherheitshinweisSicherheitshinweis

    Beachten Sie, dass für jede Person, die ein System erstellt, in dem das Kennwort übertragen wird, Methoden zur Sicherung des Kommunikationskanals obligatorisch sind. IIS stellt eine Reihe von Tools bereit, mit denen Sie den Kanal sichern können. Weitere Informationen finden Sie unter Einrichtung von SSL auf IIS 7.

  5. Deaktivieren Sie Anonyme Authentifizierung, wenn Sie die Windows- oder Standardauthentifizierung verwenden. Wenn die anonyme Authentifizierung aktiviert ist, wird sie von IIS selbst dann zuerst verwendet, wenn andere Authentifizierungsmethoden aktiviert sind.

    Bei der anonymen Authentifizierung wird die Datapump (msmdpump.dll) als Benutzerkonto ausgeführt, das Sie für den anonymen Benutzer eingerichtet haben. Zwischen dem Benutzer, der eine Verbindung mit IIS herstellt, und dem Benutzer, der eine Verbindung mit Analysis Services herstellt, besteht kein Unterschied. IIS verwendet standardmäßig das IUSR-Konto, Sie können es jedoch in ein Domänenbenutzerkonto ändern, das über Netzwerkberechtigungen verfügt. Dies ist erforderlich, wenn sich IIS und Analysis Services auf verschiedenen Computern befinden.

    Anweisungen dazu, wie Anmeldeinformationen für die anonyme Authentifizierung konfiguriert werden, finden Sie unter Anonyme Authentifizierung.

    SicherheitshinweisSicherheitshinweis

    Die anonyme Authentifizierung wird am häufigsten in einer stark kontrollierten Umgebung verwendet, in der Benutzern der Zugriff anhand von Zugriffssteuerungslisten im Dateisystem gewährt oder verweigert wird. Bewährte Methoden finden Sie unter Aktivieren der anonymen Authentifizierung (IIS 7).

  6. Klicken Sie auf das virtuelle OLAP-Verzeichnis, um die Hauptseite zu öffnen. Doppelklicken Sie auf Handlerzuordnungen.

    Screenshot der Hauptseite des IIS-Managers

  7. Klicken Sie mit der rechten Maustaste an einer beliebigen Stelle auf die Seite, und wählen Sie dann Skriptzuordnung hinzufügen aus. Geben Sie im Dialogfeld „Skriptzuordnung hinzufügen“ *.dll als Anforderungspfad und „c:\inetpub\wwwroot\olap\msmdpump.dll“ als ausführbare Datei an, und geben Sie OLAP als Namen ein.

    Screenshot des Dialogfelds "Skriptzuordnung hinzufügen"

  8. Klicken Sie auf Einschränkungen.

  9. Überprüfen Sie auf der Registerkarte Verben, ob Alle Verben aktiviert ist. Klicken Sie auf OK, und klicken Sie dann erneut auf OK, um das Hinzufügen der Skriptzuordnung abzuschließen.

    Screenshot des Dialogfelds "Einschränkungen"

  10. Klicken Sie bei der Aufforderung zum Zulassen der ISAPI-Erweiterung auf Ja.

    Screenshot der Bestätigung für das Hinzufügen von ISAPI-Erweiterung

Schritt 4: Bearbeiten der Datei MSMDPUMP.INI zum Festlegen des Zielservers

In der Datei MSMDPUMP.INI ist die Analysis Services-Instanz angegeben, mit der MSMDPUMP.DLL eine Verbindung herstellt. Diese Instanz kann lokal oder remote als Standard- oder benannte Instanz installiert sein.

Öffnen Sie die Datei msmdpump.ini im Ordner C:\inetpub\wwwroot\OLAP, und überprüfen Sie den Inhalt der Datei. Dieser sollte wie folgt aussehen:

<ConfigurationSettings>
<ServerName>localhost</ServerName>
<SessionTimeout>3600</SessionTimeout>
<ConnectionPoolSize>100</ConnectionPoolSize>
</ConfigurationSettings>

Wenn sich die Analysis Services-Instanz, für die Sie den HTTP-Zugriff konfigurieren, auf dem lokalen Computer befindet und als Standardinstanz installiert ist, gibt es keinen Grund, diese Einstellung zu ändern. Andernfalls müssen Sie den Servernamen angeben (z. B. <Servername>ADWRKS-SRV01</Servername>). Hängen Sie bei einem Server, der als benannte Instanz installiert ist, den Instanznamen (z. B. <ServerName>ADWRKS-SRV01\Tabular</ServerName>) an.

Standardmäßig lauscht Analysis Services am TCP/IP-Port 2383. Wenn Sie Analysis Services als Standardinstanz installiert haben, müssen Sie unter <Servername> keinen Port angeben, da Analysis Services automatisch an Port 2383 lauscht. Sie müssen jedoch eingehende Verbindungen zu diesem Port in der Windows-Firewall zulassen. Weitere Informationen finden Sie unter Konfigurieren der Windows-Firewall, um den Zugriff auf Analysis Services zuzulassen.

Wenn Sie eine benannte Instanz oder eine Standardinstanz von Analysis Services für das Lauschen an einem festen Port konfiguriert haben, müssen Sie dem Servernamen die Portnummer hinzufügen (z. B. <Servername>AW-SRV01:55555</Servername>). Außerdem müssen eingehende Verbindungen zu diesem Port in der Windows-Firewall zugelassen werden.

Schritt 5: Erteilen von Datenzugriffsberechtigungen

Wie bereits erwähnt, müssen Sie in der Analysis Services-Instanz Datenzugriffsberechtigungen erteilen. Jedes Datenbankobjekt verfügt über Rollen, die eine bestimmte Berechtigungsstufe (Lese- oder Lese-/Schreibzugriff) gewähren, und jede Rolle verfügt über Mitglieder in Form von Windows-Benutzeridentitäten.

Sie können Berechtigungen mithilfe von SQL Server Management Studio festlegen. Unter dem Ordner Datenbank | Rollen können Sie Rollen erstellen, Datenbankberechtigungen angeben, Mitgliedschaften zu Windows-Benutzer- oder -Gruppenkonten zuweisen und anschließend Lese- oder Schreibberechtigungen für bestimmte Objekte erteilen. Bei Clientverbindungen, über die Modelldaten verwendet, aber nicht aktualisiert werden, sind normalerweise Leseberechtigungen für einenCube ausreichend.

Die Rollenzuweisung hängt davon ab, wie die Authentifizierung konfiguriert wurde.

Anonym

Fügen Sie der Liste Mitgliedschaft das unter Anmeldeinformationen für anonyme Authentifizierung bearbeiten in IIS angegebene Konto hinzu. Weitere Informationen finden Sie unter Anonyme Authentifizierung,

Windows-Authentifizierung

Fügen Sie der Liste Mitgliedschaft die Windows-Benutzer- oder -Gruppenkonten hinzu, über die Analysis Services-Daten per Identitätswechsel oder Delegierung angefordert werden.

Standardauthentifizierung

Fügen Sie der Liste Mitgliedschaft die Windows-Benutzer- oder -Gruppenkonten hinzu, die in der Verbindungszeichenfolge übergeben werden.

Weitere Informationen zum Festlegen von Berechtigungen finden Sie unter Erteilen von Zugriffsberechtigung auf Objekte und Vorgänge (Analysis Services).

Schritt 6: Testen der Konfiguration

Die Verbindungszeichenfolgensyntax für MSMDPUMP entspricht der URL zur Datei MSMDPUMP.dll.

Wenn die Webanwendung an einem festen Port lauscht, hängen Sie die Portnummer an den Servernamen bzw. die IP-Adresse an (z. B. http://my-web-srv01:8080/OLAP/msmdpump.dll oder **http://123.456.789.012:8080/OLAP/msmdpump.dll**.).

Eine schnelle Methode zum Testen der Verbindung ist das Öffnen einer Verbindung mit Microsoft Excel oder SQL Server Management Studio.

Testen von Verbindungen mit Excel

  1. Klicken Sie auf der Registerkarte Daten in Excel unter Externe Daten abrufen auf Aus anderen Quellen, und wählen Sie dann Von Analysis Services, um den Datenverbindungs-Assistenten zu starten.

  2. Geben Sie als Servernamen die HTTP-Adresse der Erweiterung msmdpump ein: http://my-web-srv01/OLAP/msmdpump.dll.

  3. Wenn Sie die integrierte Sicherheit von Windows, NTLM oder ein anonymes Konto verwenden, wählen Sie unter Anmeldeinformationen die Option Windows-Authentifizierung verwenden aus.

    Wählen Sie für die Standardauthentifizierung Folgenden Benutzernamen und folgendes Kennwort verwenden aus, und geben Sie die erforderlichen Anmeldeinformationen an. Die angegebenen Anmeldeinformationen werden in der Verbindungszeichenfolge an Analysis Services übergeben.

Testen von Verbindungen mit SQL Server Management Studio

  1. Wählen Sie in Management Studio im Dialogfeld Verbindung mit Server herstellen als Servertyp Analysis Services aus. Geben Sie als Servernamen die HTTP-Adresse der Erweiterung msmdpump ein: http://my-web-srv01/OLAP/msmdpump.dll.

  2. Als Authentifizierung muss die Windows-Authentifizierung verwendet werden, und die Person, die Management Studio verwendet, muss ein Analysis Services-Administrator sein.

Testen von Verbindungen mit AMO

Sie können den HTTP-Zugriff programmgesteuert mithilfe von AMO testen, indem Sie die URL des Endpunkts durch den Servernamen ersetzen. Ausführliche Informationen finden Sie im Forumsbeitrag (Synchronisieren von SSAS 2008 R2-Datenbanken mittels HTTPS über Domänen-/Gesamtstruktur- und Firewallgrenzen hinweg).

Hier eine Beispielverbindungszeichenfolge, die die Syntax für den HTTP(S)-Zugriff unter Verwendung der Standardauthentifizierung veranschaulicht:

Data Source=https://<servername>/olap/msmdpump.dll; Initial Catalog=AdventureWorksDW2012; Integrated Security=Basic; User ID=XXXX; Password=XXXXX;

Weitere Informationen zum programmgesteuerten Einrichten der Verbindung finden Sie unter Aufbauen von sicheren Verbindungen in ADOMD.NET.

Führen Sie abschließend gründlichere Tests durch, indem Sie einen Clientcomputer verwenden, der in der Netzwerkumgebung ausgeführt wird, aus der die Verbindungen hergestellt werden.

Siehe auch

Konzepte

Konfigurieren der Windows-Firewall, um den Zugriff auf Analysis Services zuzulassen

Erteilen von Zugriffsberechtigung auf Objekte und Vorgänge (Analysis Services)

Andere Ressourcen

Forumsbeitrag (HTTP-Zugriff mit "msmdpump" und Standardauthentifizierung)

IIS-Authentifizierungsmethoden

Einrichten von SSL in IIS 7