配置规划服务器的基本 Kerberos 身份验证
最基本的委派配置是将默认的 Network Service 帐户用作 Microsoft Office PerformancePoint Server 2007 网站的应用程序池标识。PerformancePoint 规划不支持将此配置作为安装向导的一部分,但仍能够手动进行配置。由于已向 Network Service 帐户分配全部必需的权限和服务主体名称 (SPN),因此设置委派更为简单。使用 Network Service 确实存在安全风险,因此不建议用于生产部署。有关在生产环境中配置 Kerberos 委派的信息,请参阅使用域用户帐户配置规划服务器的 Kerberos 委派。
为 Windows 2000 Server 功能域配置 Kerberos 委派
在域控制器上,打开“Active Directory 用户和计算机”。
单击“计算机”。
****在部署中的每个 PerformancePoint Server 网站和数据源服务器上单击右键,然后选择“属性”。验证是否已为每台计算机选中“信任计算机作为委派”复选框。
为 Windows Server 2003 功能域配置 Kerberos 委派
在域控制器上,打开“Active Directory 用户和计算机”。
单击“计算机”****。
在部署中的每个 PerformancePoint Server 网站和监控数据源服务器上单击右键,然后选择“属性”。在“委派”****选项卡中,选择“信任此计算机来委派任何服务(仅 Kerberos)”选项。
配置 PerformancePoint 规划 Web 服务
找到规划中规划管理控制台和前端网站的数字标识符。
依次单击“开始”****和“运行”,键入 INETMGR,然后按 Enter。
展开本地计算机节点。
单击“网站”文件夹。
每个网站的标识符都列在“标识符”****列中。
打开命令提示符窗口并更改为以下目录。
%systemdrive%\Inetpub\adminscripts
为每个标识符键入以下命令:
cscript adsutil.vbs SET w3svc/IDENTIFIER#/Root/NTAuthenticationProviders "Negotiate,NTLM"
.gif "注意")
注意:系统不会始终自动应用此设置。有关详细信息,请参阅 Microsoft 知识库中的How to configure IIS to support both the Kerberos protocol and the NTLM protocol for network authentication(网址为 https://go.microsoft.com/fwlink/?LinkId=99929&clcid=0x409)。
重新启动 Internet Information Services (IIS)。
配置客户端计算机
在 Internet Explorer 的“工具”菜单中,单击“Internet 选项”****。
在“高级”选项卡上,确保选中“启用集成 Windows 身份验证”****复选框。
关闭“Internet 选项”对话框。