使用域用户帐户配置规划服务器的 Kerberos 委派

在域控制器上，打开“Active Directory 用户和计算机”，然后单击“计算机”。

****针对部署中的每个 PerformancePoint Server 网站和每台数据源服务器单击鼠标右键，然后选择“属性”。验证是否已为每台计算机选中“信任计算机作为委派”复选框。

使用以下步骤，为每个 PerformancePoint Server 网站设置一个服务主体名称 (SPN)。

1. 登录到域控制器。

2. 下载Manipulate Service Principal Names for Accounts工具（网址为 https://go.microsoft.com/fwlink/?LinkID=99939&clcid=0x409）。

3. 键入以下命令，为每个 PerformancePoint Server 网站和应用程序池帐户添加一个 SPN：

   setspn –A HTTP/<serverName>.<Fully qualified domain name> <Account>

   setspn –A HTTP/<serverName> <Account>

在域控制器上，打开“Active Directory 用户和计算机”，然后单击“计算机”。

****针对部署中的每个 PerformancePoint Server 网站和每台数据源服务器单击鼠标右键，然后选择“属性”。在“委派”选项卡上，为每台计算机选择“信任此计算机来委派任何服务(仅 Kerberos)”****选项。

为每个 PerformancePoint Server 网站设置一个 SPN。

登录到域控制器。

下载Manipulate Service Principal Names for Accounts工具（网址为 https://go.microsoft.com/fwlink/?LinkID=99939&clcid=0x409）。

键入以下命令，为每个 PerformancePoint Server 网站和应用程序池帐户添加一个 SPN：

setspn –A HTTP/<serverName>.<Fully qualified domain name> <Account>

setspn –A HTTP/ <serverName> <Account>

确保每个规划网站都已将应用程序池标识设置为 SPN 中输入的值。

执行以下两个分步，查找 PerformancePoint 规划中规划管理控制台和前端网站的数字标识符。

1. 依次单击“开始”和“运行”，****键入 inetmrg，然后按 Enter。

2. 展开本地计算机节点，然后单击“网站”文件夹。

   每个网站的标识符都列在“标识符”列中。

打开命令提示符窗口并更改为以下目录：

%systemdrive%\Inetpub\adminscripts

为每个标识符键入以下命令：

cscript adsutil.vbs SET w3svc/<IDENTIFIER#>/Root/NTAuthenticationProviders "Negotiate,NTLM"

注意：
系统不会始终自动应用此设置。有关信息，请参阅 Microsoft 知识库中的 How to configure IIS to support both the Kerberos protocol and the NTLM protocol for network authentication（网址为 https://go.microsoft.com/fwlink/?LinkId=99929&clcid=0x409）。

重新启动 Internet Information Services (IIS)。

在域控制器上，打开“Active Directory 用户和计算机”，然后单击“用户”。

右键单击相应的应用程序池帐户，然后单击“属性”****。

在“帐户”选项卡上，务必选中“帐户可以委派其他帐户”。

对于将访问该系统的每个用户帐户，执行下列操作：

• 务必清除“敏感帐户，不能被委派”****复选框。

• 如果未在配置向导中设置该应用程序池标识，请将该帐户添加到 IIS_WPG 组。

在 Internet Explorer 的“工具”菜单中，单击“Internet 选项”****。

在“高级”选项卡上，确保选中“启用集成 Windows 身份验证”****复选框。

关闭“Internet 选项”对话框。