配置 Monitoring Server 的基本 Kerberos 委派

  • 项目

最基本的委派配置是将默认的 Network Service 帐户用作 Microsoft Office PerformancePoint Server 2007 网站的应用程序池标识。使用 Network Service 帐户的配置只应在测试或预生产环境中进行,因为在这种情况下,监控服务器 的设置速度最快,对域的打扰最少。监控服务器 不支持将此配置作为安装向导的一部分,但仍可以手动配置。由于 Network Service 帐户拥有所有必需的权限并有分配给它的服务主体名称 (SPN),因此设置委派时更为单纯。但使用 Network Service 会带来安全风险,因此,不建议用于生产部署。有关在生产环境中配置 Kerberos 委派的信息,请参阅使用域用户帐户配置 Monitoring Server 的 Kerberos 委派

备注

必须安装 Office SharePoint Server 2007 或 Windows SharePoint Services,才能成功安装和使用 Monitoring Server。在 PerformancePoint Server 文档中,我们统一使用“Windows SharePoint Services”和“SharePoint Services”这两个术语来分别指代 Office SharePoint Server 2007 和 Windows SharePoint Services 3.0。

为 Windows 2000 Server 功能域配置 Kerberos 委派

  1. 在域控制器上,打开“Active Directory 用户和计算机”。

  2. 单击“计算机”。

  3. 在****部署中的每个 Microsoft Office PerformancePoint Server 2007 网站和现有 Monitoring Server 数据源实例上单击右键,然后选择“属性”。验证是否已为每台计算机选中“信任计算机作为委派”复选框。

为 Windows Server 2003 功能域配置 Kerberos 委派

  1. 在域控制器上,打开“Active Directory 用户和计算机”。

  2. 单击“计算机”****。

  3. 在部署中的每个 Microsoft Office PerformancePoint Server 2007 网站和现有 Monitoring Server 数据源实例上单击右键,然后选择“属性”。在“委派”****选项卡中,选择“信任此计算机来委派任何服务(仅 Kerberos)”选项。

配置 PerformancePoint Monitoring Server Web Services

  1. 使用下面的步骤 2 到步骤 4,找到 PPSWebService 以及 PPSMonitoringPreview 或 SharePoint 站点(具体取决于部署)的数字标识符。

  2. 依次单击“开始”****和“运行”,键入 inetmgr,然后按 Enter。

  3. 展开本地计算机节点。

  4. 单击“网站”文件夹。每个网站的标识符都列在“标识符”列中。

  5. 打开命令提示符窗口并更改为以下目录:

    %systemdrive%\Inetpub\adminscripts

  6. 为每个标识符键入以下命令:

    cscript adsutil.vbs SET w3svc/IDENTIFIER#/Root/NTAuthenticationProviders "Negotiate,NTLM"

    备注

    系统不会始终自动应用此设置。有关信息,请参阅 Microsoft 知识库中的 How to configure IIS to support both the Kerberos protocol and the NTLM protocol for network authentication(网址为 https://go.microsoft.com/fwlink/?LinkId=99929&clcid=0x409)。

  7. 打开 PPSWebService 以及 PPSMonitoringPreview 或 SharePoint 站点的 Web.config 文件。Web.config 文件位于相应站点的根目录下。

  8. 在该文档中搜索 Bpm.ServerConnectionPerUser 属性。

  9. 将值更改为 True

  10. 保存对该 Web.config 文件所做的更改。

  11. 重新启动 Internet Information Services (IIS)。

配置客户端计算机

  1. 在 Internet Explorer 的“工具”菜单中,单击“Internet 选项”****。

  2. 在“高级”选项卡上,确保选中“启用集成 Windows 身份验证”****复选框。

  3. 关闭“Internet 选项”对话框。

通过设置服务的 SPN 来配置 Monitoring Server 数据源

  1. 请确保已使用上述步骤将每台服务器配置为信任它进行委派。

  2. 登录到域控制器。

  3. 下载 Manipulate Service Principal Names for Accounts 工具(网址为 https://go.microsoft.com/fwlink/?LinkId=99939)。

  4. 为每个关联的服务添加 SPN。例如:

    • 对于 Microsoft SQL Server 2000 Analysis Services,运行以下命令:setspn –A MSOLAPSvc/<Server Name>.<Fully qualified domain name> <ServerName>setspn –A MSOLAPSvc/<Server Name> <Server Name>

    • 对于 Microsoft SQL Server 2005 Analysis Services,运行以下命令:setspn –A MSOLAPSvc.3/<Server Name>.<Fully qualified domain name><Server Name>setspn –A MSOLAPSvc.3/<Server Name> <Server Name>