使用域用户帐户配置 Monitoring Server 的 Kerberos 委派

  • 项目

为了实现更安全的部署,我们建议您使用仅分配给 Microsoft Office PerformancePoint Server 2007 应用程序池的域用户帐户,而不是使用 Network Service 帐户。这种配置更为安全,因为您可以仅向该域用户帐户授予必要的权限。此外,其他服务都不共享同一组凭据,也无权访问 监控服务器配置管理器设置的资源,例如应用数据库。但是,这种模式下的委派也并非完全安全,因为以 Network Service 帐户运行的其他服务仍然可以使用模拟令牌。

备注

必须安装 Office SharePoint Server 2007 或 Windows SharePoint Services,才能成功安装和使用 Monitoring Server。在 PerformancePoint Server 文档中,我们统一使用“Windows SharePoint Services”和“SharePoint Services”这两个术语来分别指代 Office SharePoint Server 2007 和 Windows SharePoint Services 3.0。

为 Windows 2000 Server 功能域配置 Kerberos 委派

  1. 在域控制器上,打开“Active Directory 用户和计算机”,然后单击“计算机”。

  2. 在****部署中的每个 Microsoft Office PerformancePoint Server 2007 网站和现有 Monitoring Server 数据源实例上单击右键,然后选择“属性”。验证是否已为每台计算机选中“信任计算机作为委派”复选框。

  3. 使用以下步骤,为每个 Microsoft Office PerformancePoint Server 2007 网站设置一个服务主体名称 (SPN):

    1. 登录到域控制器。

    2. 下载Manipulate Service Principal Names for Accounts工具(网址为https://go.microsoft.com/fwlink/?LinkID=99939&clcid=0x409)。

    3. 键入以下命令,为每个 Microsoft Office PerformancePoint Server 2007 网站和应用程序池帐户添加一个 SPN:

      setspn –A HTTP/< 服务器名称 >.< 完全限定域名 > < 帐户 >

      setspn –A HTTP/< 服务器名称 > < 帐户 >

  4. 执行本文后面的“通过设置 SPN 来配置要监控的数据源”过程。

为 Windows Server 2003 功能域配置 Kerberos 委派

  1. 在域控制器上,打开“Active Directory 用户和计算机”,然后单击“计算机”。

  2. 在****部署中的每个 Microsoft Office PerformancePoint Server 2007 网站和现有 Monitoring Server 数据源实例上单击右键,然后选择“属性”。在“委派”选项卡上,为每台计算机选择“信任此计算机来委派任何服务(仅 Kerberos)”选项。

  3. 执行下列步骤,为每个 Microsoft Office PerformancePoint Server 2007 网站设置一个 SPN:

    1. 登录到域控制器。

    2. 下载Manipulate Service Principal Names for Accounts工具(网址为 https://go.microsoft.com/fwlink/?LinkID=99939\&clcid=0x409)。

    3. 键入以下命令,为每个 Microsoft Office PerformancePoint Server 2007 站点和应用程序池标识帐户添加一个 SPN:

      setspn –A HTTP/<服务器名称>.<完全限定域名> <帐户>setspn –A HTTP/<服务器名称> <帐户>

配置 PerformancePoint Monitoring Server Web Service

  1. 验证每个 Monitoring Server 网站和 SharePoint 站点是否都已将应用程序池标识设置为与 SPN 中的输入值相匹配的内容。

  2. 找到 PPSWebService 以及 PPSMonitoringPreview 或 SharePoint 站点(具体取决于部署)的数字标识符。

  3. 依次单击“开始”和“运行”,****键入 inetmgr,然后按 Enter。

  4. 展开本地计算机节点,然后单击“网站”文件夹。每个网站的标识符都列在“标识符”列中。

  5. 打开命令提示符窗口并更改为以下目录:

    %systemdrive%\Inetpub\adminscripts

  6. 为每个标识符键入以下命令:

    cscript adsutil.vbs SET w3svc/< 标识符编号> /Root/NTAuthenticationProviders "Negotiate,NTLM"

    备注

    系统不会始终自动应用此设置。有关信息,请参阅 Microsoft 知识库中的How to configure IIS to support both the Kerberos protocol and the NTLM protocol for network authentication(网址为 https://go.microsoft.com/fwlink/?LinkId=99929&clcid=0x409)。

  7. 打开 PPSWebService 以及 PPSMonitoringPreview 或 SharePoint 站点的 Web.config 文件。Web.config 文件位于相应站点的根目录下。

  8. 在该文档中搜索 Bpm.ServerConnectionPerUser 属性。

  9. 将值更改为 True

  10. 保存对该 Web.config 文件所做的更改。

  11. 重新启动 Internet Information Services (IIS)。

配置客户端计算机

  1. 在 Internet Explorer 的“工具”菜单中,单击“Internet 选项”****。

  2. 在“高级”选项卡上,确保选中“启用集成 Windows 身份验证”****复选框。

  3. 关闭“Internet 选项”对话框。

配置用户帐户

  1. 在域控制器上,打开“Active Directory 用户和计算机”,然后单击“用户”****。

  2. 右键单击相应的应用程序池帐户,然后单击“属性”。

  3. 在“帐户”****选项卡上,验证是否已选中“帐户可以委派其他帐户”。

  4. 对于将访问该系统的每个用户帐户,执行下列操作:

    • 验证是否已清除“敏感帐户,不能被委派”****复选框。

    • 如果未在配置向导中设置该应用程序池标识,请将该帐户添加到 IIS_WPG 组。

通过设置 SPN 来配置要监控的数据源

  1. 确保每台服务器都受到信任可以委派

  2. 登录到域控制器

  3. 下载Manipulate Service Principal Names for Accounts tool(网址为 https://go.microsoft.com/fwlink/?LinkId=99939)。

  4. 为每个相关服务添加一个服务主体名称 (SPN)。例如:

    • 对于 Microsoft SQL Server 2000 Analysis Services,运行以下命令:

      setspn –A MSOLAPSvc/<服务器名称>.<完全限定域名><服务器名称>

      setspn –A MSOLAPSvc/<服务器名称> <服务器名称>

    • 对于 Microsoft SQL Server 2005 Analysis Services,运行以下命令:

      setspn –A MSOLAPSvc.3/<服务器名称>.<完全限定域名> <服务器名称>

      setspn –A MSOLAPSvc.3/<服务器名称> <服务器名称>