配置 Monitoring Server 以支持 Kerberos 约束委派

  • 项目

实现 Kerberos 委派的最安全方法是防止任何未显式启用的服务使用委派。这些网站应该仍使用应用程序池标识的某个域用户帐户。如果这些网站有多个不同的应用程序池标识帐户,则需要对每个用户帐户执行以下过程。

备注

如果服务主体名称 (SPN) 指定了端口,则 监控服务器 不允许进行约束委派。因此,不可以部署多个使用 Kerberos 约束委派的网站,除非所有其他网站都共享同一个应用程序池标识帐户。

在 Windows 2000 Server 功能域中不支持 Kerberos 约束委派。

备注

必须安装 Office SharePoint Server 2007 或 Windows SharePoint Services,才能成功安装和使用 Monitoring Server。在 PerformancePoint Server 文档中,我们统一使用“Windows SharePoint Services”和“SharePoint Services”这两个术语来分别指代 Office SharePoint Server 2007 和 Windows SharePoint Services 3.0。

通过设置 SPN 为 Windows Server 2003 功能域配置 Kerberos 约束委派

  1. 登录到域控制器。

  2. 下载Manipulate Service Principal Names for Accounts工具(网址为 https://go.microsoft.com/fwlink/?LinkID=99939\&clcid=0x409)。

  3. 键入以下命令,为每个 Microsoft Office PerformancePoint Server 2007 网站和应用程序池帐户添加一个 SPN:

    setspn –A HTTP/< ServerName >.< Fully qualified domain name > < Account > setspn –A HTTP/< ServerName > < Account >

  4. 在域控制器上,打开“Active Directory 用户和计算机”,然后单击“用户”。

  5. ****针对部署中的每个 Microsoft Office PerformancePoint Server 2007 网站应用程序池标识单击鼠标右键,然后选择“属性”。确保选中“仅信任此用户作为指定服务的委派”复选框。

  6. 选择“仅使用 Kerberos”****。

  7. 单击“添加”,然后指定下列值:

    • ****“ServiceClass”为 HTTP。

    • “主机”为安装了这些 PerformancePoint Server 网站的计算机的名称。

    • ****“端口”为要将该应用程序安装到的端口。

  8. 执行本文后面介绍的“通过设置 SPN 配置要监控的数据源”过程,设置 Microsoft SQL Server Analysis Services 和其他数据源。

配置 PerformancePoint Monitoring Server Web Services

  1. 验证每个 Monitoring Server 网站和 SharePoint 站点是否都已将应用程序池标识设置为与 SPN 中的输入值相匹配的内容。

  2. 找到 PPSWebService 以及 PPSMonitoringPreview 或 SharePoint 站点(具体取决于部署)的数字标识符。

  3. 依次单击“开始”和“运行”,****键入 inetmgr,然后按 Enter。

  4. 展开本地计算机节点,然后单击“网站”文件夹。

    每个网站的标识符都列在“标识符”列中。

  5. 打开命令提示符窗口并更改为以下目录:

    %systemdrive%\Inetpub\adminscripts

  6. 为每个标识符键入以下命令:

    cscript adsutil.vbs SET w3svc/< IDENTIFIER#> /Root/NTAuthenticationProviders "Negotiate,NTLM"

    备注

    系统不会始终自动应用此设置。有关信息,请参阅 Microsoft 知识库中的 How to configure IIS to support both the Kerberos protocol and the NTLM protocol for network authentication(网址为 https://go.microsoft.com/fwlink/?LinkId=99929&clcid=0x409,该链接指向英文页面)。

  7. 打开 PPSWebService 以及 PPSMonitoringPreview 或 SharePoint 站点的 Web.config 文件。Web.config 文件位于相应站点的根目录下。

  8. 在该文档中搜索 Bpm.ServerConnectionPerUser 属性。

  9. 将值更改为 True

  10. 保存对该 Web.config 文件所做的更改。

  11. 重新启动 Internet Information Services (IIS)。

配置用户帐户

  1. 在域控制器上,打开“Active Directory 用户和计算机”,然后单击“用户”。

  2. 右键单击相应的应用程序池帐户,然后单击“属性”****。

  3. 在“帐户”选项卡上,务必选中“帐户可以委派其他帐户”****。

  4. 对于将访问该系统的每个用户帐户,执行下列操作:

    • 验证是否已清除“敏感帐户,不能被委派”复选框。

  5. 如果未在配置向导中设置该应用程序池标识,请将该帐户添加到 IIS_WPG 组。

配置客户端计算机

  1. 在 Internet Explorer 的“工具”菜单中,单击****“Internet 选项”。

  2. 在“高级”选项卡上,****确保选中“启用集成 Windows 身份验证”复选框。

  3. 关闭“Internet 选项”****对话框。

通过设置 SPN 来配置要监控的数据源

  1. 确保每台服务器都受到信任可以委派

  2. 在域控制器上,打开“Active Directory 用户和计算机”,然后单击“计算机”。

  3. 对于运行数据源服务的每台计算机,单击鼠标右键,然后选择“属性”****。确保选中“仅信任此用户作为指定服务的委派”复选框。

  4. 选择“仅使用 Kerberos”****。

  5. 单击“添加”,然后指定下列值:

    • ****“ServiceClass”为依赖该服务的服务。例如,对于 Microsoft SQL Server 2005 Analysis Services,该值为 MSOLAPSvc.3

    • “主机”是运行该服务的计算机的名称。

  6. 登录到域控制器。

  7. 下载Manipulate Service Principal Names for Accounts tool(网址为 https://go.microsoft.com/fwlink/?LinkId=99939)。

  8. 为每个关联的服务添加 SPN。例如:

    • 对于 Microsoft SQL Server 2000 Analysis Services,运行以下命令:

      setspn –A MSOLAPSvc/<ServerName>.<Fully qualified domain name><ServerName>setspn –A MSOLAPSvc/<ServerName> <ServerName>

    • 对于 Microsoft SQL Server 2005 Analysis Services,运行以下命令:

      setspn –A MSOLAPSvc.3/<ServerName>.<Fully qualified domain name> <ServerName>setspn –A MSOLAPSvc.3/<ServerName> <ServerName>