使用域用户帐户配置 Monitoring Server 的 Kerberos 委派
为了实现更安全的部署,我们建议您使用仅分配给 Microsoft Office PerformancePoint Server 2007 应用程序池的域用户帐户,而不是使用 Network Service 帐户。这种配置更为安全,因为您可以仅向该域用户帐户授予必要的权限。此外,其他服务都不共享同一组凭据,也无权访问 监控服务器配置管理器设置的资源,例如应用数据库。但是,这种模式下的委派也并非完全安全,因为以 Network Service 帐户运行的其他服务仍然可以使用模拟令牌。
备注
必须安装 Office SharePoint Server 2007 或 Windows SharePoint Services,才能成功安装和使用 Monitoring Server。在 PerformancePoint Server 文档中,我们统一使用“Windows SharePoint Services”和“SharePoint Services”这两个术语来分别指代 Office SharePoint Server 2007 和 Windows SharePoint Services 3.0。
为 Windows 2000 Server 功能域配置 Kerberos 委派
在域控制器上,打开“Active Directory 用户和计算机”,然后单击“计算机”。
在****部署中的每个 Microsoft Office PerformancePoint Server 2007 网站和现有 Monitoring Server 数据源实例上单击右键,然后选择“属性”。验证是否已为每台计算机选中“信任计算机作为委派”复选框。
使用以下步骤,为每个 Microsoft Office PerformancePoint Server 2007 网站设置一个服务主体名称 (SPN):
登录到域控制器。
下载Manipulate Service Principal Names for Accounts工具(网址为https://go.microsoft.com/fwlink/?LinkID=99939&clcid=0x409)。
键入以下命令,为每个 Microsoft Office PerformancePoint Server 2007 网站和应用程序池帐户添加一个 SPN:
setspn –A HTTP/< 服务器名称 >.< 完全限定域名 > < 帐户 >
setspn –A HTTP/< 服务器名称 > < 帐户 >
执行本文后面的“通过设置 SPN 来配置要监控的数据源”过程。
为 Windows Server 2003 功能域配置 Kerberos 委派
在域控制器上,打开“Active Directory 用户和计算机”,然后单击“计算机”。
在****部署中的每个 Microsoft Office PerformancePoint Server 2007 网站和现有 Monitoring Server 数据源实例上单击右键,然后选择“属性”。在“委派”选项卡上,为每台计算机选择“信任此计算机来委派任何服务(仅 Kerberos)”选项。
执行下列步骤,为每个 Microsoft Office PerformancePoint Server 2007 网站设置一个 SPN:
登录到域控制器。
下载Manipulate Service Principal Names for Accounts工具(网址为 https://go.microsoft.com/fwlink/?LinkID=99939\&clcid=0x409)。
键入以下命令,为每个 Microsoft Office PerformancePoint Server 2007 站点和应用程序池标识帐户添加一个 SPN:
setspn –A HTTP/<服务器名称>.<完全限定域名> <帐户>setspn –A HTTP/<服务器名称> <帐户>
配置 PerformancePoint Monitoring Server Web Service
验证每个 Monitoring Server 网站和 SharePoint 站点是否都已将应用程序池标识设置为与 SPN 中的输入值相匹配的内容。
找到 PPSWebService 以及 PPSMonitoringPreview 或 SharePoint 站点(具体取决于部署)的数字标识符。
依次单击“开始”和“运行”,****键入 inetmgr,然后按 Enter。
展开本地计算机节点,然后单击“网站”文件夹。每个网站的标识符都列在“标识符”列中。
打开命令提示符窗口并更改为以下目录:
%systemdrive%\Inetpub\adminscripts
为每个标识符键入以下命令:
cscript adsutil.vbs SET w3svc/< 标识符编号> /Root/NTAuthenticationProviders "Negotiate,NTLM"
备注
系统不会始终自动应用此设置。有关信息,请参阅 Microsoft 知识库中的How to configure IIS to support both the Kerberos protocol and the NTLM protocol for network authentication(网址为 https://go.microsoft.com/fwlink/?LinkId=99929&clcid=0x409)。
打开 PPSWebService 以及 PPSMonitoringPreview 或 SharePoint 站点的 Web.config 文件。Web.config 文件位于相应站点的根目录下。
在该文档中搜索 Bpm.ServerConnectionPerUser 属性。
将值更改为 True。
保存对该 Web.config 文件所做的更改。
重新启动 Internet Information Services (IIS)。
配置客户端计算机
在 Internet Explorer 的“工具”菜单中,单击“Internet 选项”****。
在“高级”选项卡上,确保选中“启用集成 Windows 身份验证”****复选框。
关闭“Internet 选项”对话框。
配置用户帐户
在域控制器上,打开“Active Directory 用户和计算机”,然后单击“用户”****。
右键单击相应的应用程序池帐户,然后单击“属性”。
在“帐户”****选项卡上,验证是否已选中“帐户可以委派其他帐户”。
对于将访问该系统的每个用户帐户,执行下列操作:
验证是否已清除“敏感帐户,不能被委派”****复选框。
如果未在配置向导中设置该应用程序池标识,请将该帐户添加到 IIS_WPG 组。
通过设置 SPN 来配置要监控的数据源
确保每台服务器都受到信任可以委派
登录到域控制器
下载Manipulate Service Principal Names for Accounts tool(网址为 https://go.microsoft.com/fwlink/?LinkId=99939)。
为每个相关服务添加一个服务主体名称 (SPN)。例如:
对于 Microsoft SQL Server 2000 Analysis Services,运行以下命令:
setspn –A MSOLAPSvc/<服务器名称>.<完全限定域名><服务器名称>
setspn –A MSOLAPSvc/<服务器名称> <服务器名称>
对于 Microsoft SQL Server 2005 Analysis Services,运行以下命令:
setspn –A MSOLAPSvc.3/<服务器名称>.<完全限定域名> <服务器名称>
setspn –A MSOLAPSvc.3/<服务器名称> <服务器名称>