使用域用户帐户配置规划服务器的 Kerberos 委派

PerformancePoint Server 2007

为帮助实现更安全的部署,我们建议您使用仅分配给 Microsoft Office PerformancePoint Server 2007 应用程序池的域用户帐户,而不是使用 Network Service 帐户。这种配置更为安全,因为您可以仅向该域用户帐户授予必要的权限。此外,其他服务都不共享同一组凭据,也没有权限访问配置管理向导设置的资源,例如应用数据库。尽管如此,这种模式下的委派也不完全安全,因为以 Network Service 帐户运行的其他服务仍然可以使用模拟令牌。 

为 Windows 2000 Server 功能域配置 Kerberos 委派

  1. 在域控制器上,打开“Active Directory 用户和计算机”,然后单击“计算机”

  2. 针对部署中的每个 PerformancePoint Server 网站和每台数据源服务器单击鼠标右键,然后选择“属性”。验证是否已为每台计算机选中“信任计算机作为委派”复选框。

  3. 使用以下步骤,为每个 PerformancePoint Server 网站设置一个服务主体名称 (SPN)。

    1. 登录到域控制器。

    2. 下载Manipulate Service Principal Names for Accounts工具(网址为 http://go.microsoft.com/fwlink/?LinkID=99939&clcid=0x409)。

    3. 键入以下命令,为每个 PerformancePoint Server 网站和应用程序池帐户添加一个 SPN:

      setspn –A HTTP/<serverName>.<Fully qualified domain name> <Account>

      setspn –A HTTP/<serverName> <Account>

为 Windows Server 2003 功能域配置 Kerberos 委派

  1. 在域控制器上,打开“Active Directory 用户和计算机”,然后单击“计算机”

  2. 针对部署中的每个 PerformancePoint Server 网站和每台数据源服务器单击鼠标右键,然后选择“属性”。在“委派”选项卡上,为每台计算机选择“信任此计算机来委派任何服务(仅 Kerberos)”选项。

  3. 为每个 PerformancePoint Server 网站设置一个 SPN。

  4. 登录到域控制器。

  5. 下载Manipulate Service Principal Names for Accounts工具(网址为 http://go.microsoft.com/fwlink/?LinkID=99939&clcid=0x409)。

  6. 键入以下命令,为每个 PerformancePoint Server 网站和应用程序池帐户添加一个 SPN:

    setspn –A HTTP/<serverName>.<Fully qualified domain name> <Account>

    setspn –A HTTP/ <serverName> <Account>

配置 PerformancePoint 规划 Web 服务

  1. 确保每个规划网站都已将应用程序池标识设置为 SPN 中输入的值。

  2. 执行以下两个分步,查找 PerformancePoint 规划中规划管理控制台和前端网站的数字标识符。

    1. 依次单击“开始”和“运行”,键入 inetmrg,然后按 Enter。

    2. 展开本地计算机节点,然后单击“网站”文件夹。

      每个网站的标识符都列在“标识符”列中。

  3. 打开命令提示符窗口并更改为以下目录:

    %systemdrive%\Inetpub\adminscripts

  4. 为每个标识符键入以下命令:

    cscript adsutil.vbs SET w3svc/<IDENTIFIER#>/Root/NTAuthenticationProviders "Negotiate,NTLM"

    注意注意:

    系统不会始终自动应用此设置。有关信息,请参阅 Microsoft 知识库中的 How to configure IIS to support both the Kerberos protocol and the NTLM protocol for network authentication(网址为 http://go.microsoft.com/fwlink/?LinkId=99929&clcid=0x409)。

  5. 重新启动 Internet Information Services (IIS)。

配置用户帐户

  1. 在域控制器上,打开“Active Directory 用户和计算机”,然后单击“用户”

  2. 右键单击相应的应用程序池帐户,然后单击“属性”

  3. 在“帐户”选项卡上,务必选中“帐户可以委派其他帐户”

  4. 对于将访问该系统的每个用户帐户,执行下列操作:

    • 务必清除“敏感帐户,不能被委派”复选框。

    • 如果未在配置向导中设置该应用程序池标识,请将该帐户添加到 IIS_WPG 组。

配置客户端计算机

  1. 在 Internet Explorer 的“工具”菜单中,单击“Internet 选项”

  2. 在“高级”选项卡上,确保选中“启用集成 Windows 身份验证”复选框。

  3. 关闭“Internet 选项”对话框。

显示: