配置规划服务器以支持 Kerberos 约束委派
实现 Kerberos 委派的最安全方法是防止任何未显式启用的服务使用委派。这些网站应该仍使用应用程序池标识的某个域用户帐户。如果这些网站有多个不同的应用程序池标识帐户,则需要对每个用户帐户执行以下过程。
注意: |
---|
如果服务主体名称 (SPN) 指定了端口,则 规划服务器不允许进行约束委派。因此,不可以部署多个使用 Kerberos 约束委派的网站,除非所有其他网站都共享同一个应用程序池标识帐户。 |
在 Windows 2000 Server 功能域中不支持 Kerberos 约束委派。
通过设置 SPN 为 Windows Server 2003 功能域配置 Kerberos 约束委派
登录到该域控制器。
下载 Manipulate Service Principal Names for Accounts 工具(网址为 https://go.microsoft.com/fwlink/?LinkID=99939&clcid=0x409)
键入以下命令,为每个 Microsoft Office PerformancePoint Server 2007 网站和应用程序池帐户添加一个 SPN。
setspn –A HTTP/ <serverName> : <port> . <Fully qualified domain name> <Account>
在域控制器上,打开“Active Directory 用户和计算机”,然后单击“用户”。
针对部署中的每个 PerformancePoint Server 网站应用程序池标识单击鼠标右键,然后选择“属性”。确保选中“仅信任此用户作为指定服务的委派”****复选框。
选择“仅使用 Kerberos”。
单击“添加”,****然后指定以下值。
“ServiceClass”为 HTTP。
****“主机”为安装了这些 PerformancePoint Server 网站的计算机的名称。
“端口”为要将该应用程序安装到的端口。
配置 PerformancePoint 规划 Web 服务
确保每个规划网站都已将应用程序池标识设置为 SPN 中输入的值。
执行以下操作找到 PerformancePoint 规划中的管理和前端网站的数字标识符:
依次单击“开始”****和“运行”,键入 inetmgr,然后按 Enter。
展开本地计算机节点,然后单击“网站”文件夹。
每个网站的标识符都列在“标识符”列中。
打开命令提示符窗口并更改为以下目录:
%systemdrive%\Inetpub\adminscripts
对于每个标识符,键入以下命令:
cscript adsutil.vbs SET w3svc/<IDENTIFIER#>/Root/NTAuthenticationProviders "Negotiate,NTLM"
注意: 系统不会始终自动应用此设置。有关信息,请参阅 Microsoft 知识库中的 How to configure IIS to support both the Kerberos protocol and the NTLM protocol for network authentication(网址为 https://go.microsoft.com/fwlink/?LinkId=99929&clcid=0x409)。
重新启动 Internet Information Services (IIS)。
配置客户端计算机
在 Internet Explorer 的“工具”菜单中,单击“Internet 选项”****。
在“高级”选项卡上,验证是否已选中“启用集成 Windows 身份验证”****复选框。
关闭“Internet 选项”对话框。
配置用户帐户
在域控制器上,打开“Active Directory 用户和计算机”,然后单击“用户”****。
右键单击相应的应用程序池帐户,然后单击“属性”。
在“帐户”****选项卡上,验证是否已选中“帐户可以委派其他帐户”。
对于将访问该系统的每个用户帐户,验证是否已清除“敏感帐户,不能被委派”****复选框。
如果没有将该应用程序池标识设置为配置向导的一部分,请将该帐户添加到 IIS_WPG 组中。