配置 Monitoring Server 以支持 Kerberos 约束委派
实现 Kerberos 委派的最安全方法是防止任何未显式启用的服务使用委派。这些网站应该仍使用应用程序池标识的某个域用户帐户。如果这些网站有多个不同的应用程序池标识帐户,则需要对每个用户帐户执行以下过程。
备注
如果服务主体名称 (SPN) 指定了端口,则 监控服务器 不允许进行约束委派。因此,不可以部署多个使用 Kerberos 约束委派的网站,除非所有其他网站都共享同一个应用程序池标识帐户。
在 Windows 2000 Server 功能域中不支持 Kerberos 约束委派。
备注
必须安装 Office SharePoint Server 2007 或 Windows SharePoint Services,才能成功安装和使用 Monitoring Server。在 PerformancePoint Server 文档中,我们统一使用“Windows SharePoint Services”和“SharePoint Services”这两个术语来分别指代 Office SharePoint Server 2007 和 Windows SharePoint Services 3.0。
通过设置 SPN 为 Windows Server 2003 功能域配置 Kerberos 约束委派
登录到域控制器。
下载Manipulate Service Principal Names for Accounts工具(网址为 https://go.microsoft.com/fwlink/?LinkID=99939\&clcid=0x409)。
键入以下命令,为每个 Microsoft Office PerformancePoint Server 2007 网站和应用程序池帐户添加一个 SPN:
setspn –A HTTP/< ServerName >.< Fully qualified domain name > < Account > setspn –A HTTP/< ServerName > < Account >
在域控制器上,打开“Active Directory 用户和计算机”,然后单击“用户”。
****针对部署中的每个 Microsoft Office PerformancePoint Server 2007 网站应用程序池标识单击鼠标右键,然后选择“属性”。确保选中“仅信任此用户作为指定服务的委派”复选框。
选择“仅使用 Kerberos”****。
单击“添加”,然后指定下列值:
****“ServiceClass”为 HTTP。
“主机”为安装了这些 PerformancePoint Server 网站的计算机的名称。
****“端口”为要将该应用程序安装到的端口。
执行本文后面介绍的“通过设置 SPN 配置要监控的数据源”过程,设置 Microsoft SQL Server Analysis Services 和其他数据源。
配置 PerformancePoint Monitoring Server Web Services
验证每个 Monitoring Server 网站和 SharePoint 站点是否都已将应用程序池标识设置为与 SPN 中的输入值相匹配的内容。
找到 PPSWebService 以及 PPSMonitoringPreview 或 SharePoint 站点(具体取决于部署)的数字标识符。
依次单击“开始”和“运行”,****键入 inetmgr,然后按 Enter。
展开本地计算机节点,然后单击“网站”文件夹。
每个网站的标识符都列在“标识符”列中。
打开命令提示符窗口并更改为以下目录:
%systemdrive%\Inetpub\adminscripts
为每个标识符键入以下命令:
cscript adsutil.vbs SET w3svc/< IDENTIFIER#> /Root/NTAuthenticationProviders "Negotiate,NTLM"
备注
系统不会始终自动应用此设置。有关信息,请参阅 Microsoft 知识库中的 How to configure IIS to support both the Kerberos protocol and the NTLM protocol for network authentication(网址为 https://go.microsoft.com/fwlink/?LinkId=99929&clcid=0x409,该链接指向英文页面)。
打开 PPSWebService 以及 PPSMonitoringPreview 或 SharePoint 站点的 Web.config 文件。Web.config 文件位于相应站点的根目录下。
在该文档中搜索 Bpm.ServerConnectionPerUser 属性。
将值更改为 True。
保存对该 Web.config 文件所做的更改。
重新启动 Internet Information Services (IIS)。
配置用户帐户
在域控制器上,打开“Active Directory 用户和计算机”,然后单击“用户”。
右键单击相应的应用程序池帐户,然后单击“属性”****。
在“帐户”选项卡上,务必选中“帐户可以委派其他帐户”****。
对于将访问该系统的每个用户帐户,执行下列操作:
- 验证是否已清除“敏感帐户,不能被委派”复选框。
如果未在配置向导中设置该应用程序池标识,请将该帐户添加到 IIS_WPG 组。
配置客户端计算机
在 Internet Explorer 的“工具”菜单中,单击****“Internet 选项”。
在“高级”选项卡上,****确保选中“启用集成 Windows 身份验证”复选框。
关闭“Internet 选项”****对话框。
通过设置 SPN 来配置要监控的数据源
确保每台服务器都受到信任可以委派
在域控制器上,打开“Active Directory 用户和计算机”,然后单击“计算机”。
对于运行数据源服务的每台计算机,单击鼠标右键,然后选择“属性”****。确保选中“仅信任此用户作为指定服务的委派”复选框。
选择“仅使用 Kerberos”****。
单击“添加”,然后指定下列值:
****“ServiceClass”为依赖该服务的服务。例如,对于 Microsoft SQL Server 2005 Analysis Services,该值为 MSOLAPSvc.3。
“主机”是运行该服务的计算机的名称。
登录到域控制器。
下载Manipulate Service Principal Names for Accounts tool(网址为 https://go.microsoft.com/fwlink/?LinkId=99939)。
为每个关联的服务添加 SPN。例如:
对于 Microsoft SQL Server 2000 Analysis Services,运行以下命令:
setspn –A MSOLAPSvc/<ServerName>.<Fully qualified domain name><ServerName>setspn –A MSOLAPSvc/<ServerName> <ServerName>
对于 Microsoft SQL Server 2005 Analysis Services,运行以下命令:
setspn –A MSOLAPSvc.3/<ServerName>.<Fully qualified domain name> <ServerName>setspn –A MSOLAPSvc.3/<ServerName> <ServerName>