Konfigurieren des HTTP-Zugriffs auf Analysis Services unter IIS 8.0
Gilt für: SQL Server Analysis Services Azure Analysis Services Fabric/Power BI Premium
In diesem Artikel wird beschrieben, wie Sie einen HTTP-Endpunkt für den Zugriff auf eine Analysis Services-Instanz einrichten. Sie können den HTTP-Zugriff aktivieren, indem Sie MSMDPUMP.dll konfigurieren, eine ISAPI-Erweiterung, die in Internetinformationsdienste (IIS) ausgeführt wird und Datapump zu und von Clientanwendungen und einem Analysis Services-Server ausführt. Dieser Ansatz bietet eine Alternative zum Herstellen einer Verbindung mit Analysis Services, wenn die BI-Lösung die folgenden Funktionen erfordert:
Der Clientzugriff erfolgt über Internet- oder Extranetverbindungen, mit Einschränkungen dazu, welche Ports aktiviert werden können,
Clientverbindungen stammen von nicht vertrauenswürdigen Domänen im selben Netzwerk.
Die Clientanwendung wird in einer Netzwerkumgebung ausgeführt, die HTTP-, jedoch keine TCP/IP-Verbindungen unterstützt.
Die Analysis Services-Clientbibliotheken können von Clientanwendungen nicht verwendet werden (z. B. eine Java-Anwendung, die auf einem UNIX-Server ausgeführt wird). Wenn es nicht möglich ist, die Analysis Services-Clientbibliotheken für den Datenzugriff zu verwenden, können Sie SOAP und XML/A über eine direkte HTTP-Verbindung zu einer Analysis Services-Instanz verwenden.
Andere Authentifizierungsmethoden als die integrierte Sicherheit von Windows sind erforderlich. Sie können insbesondere anonyme Verbindungen und die Standardauthentifizierung verwenden, wenn Sie Analysis Services für den HTTP-Zugriff konfigurieren. Die Digest-, Formular- und ASP.NET-Authentifizierung werden nicht unterstützt. Die Erfordernis der Standardauthentifizierung ist einer der Hauptgründe für die Aktivierung des HTTP-Zugriffs. Weitere Informationen finden Sie unter Microsoft BI-Authentifizierung und Identitätsdelegierung.
Hinweis
Die für Clientanwendungen erforderlichen Clientbibliotheken können keine Verbindung mit Analysis Services über Proxyserver herstellen, die einen Benutzernamen und ein Kennwort erfordern.
Sie können den HTTP-Zugriff für alle unterstützten Versionen oder Editionen von Analysis Services konfigurieren, die den tabellarischen oder mehrdimensionalen Modus ausführen. Lokale Cubes sind eine Ausnahme. Sie können keine Verbindung zu einem lokalen Cube über einen HTTP-Endpunkt herstellen.
Das Einrichten des HTTP-Zugriffs ist eine Aufgabe nach der Installation. Analysis Services muss bereits installiert sein, damit Sie es für den HTTP-Zugriff konfigurieren können. Als Analysis Services-Administrator müssen Sie Windows-Konten Berechtigungen erteilen, bevor HTTP-Zugriff möglich ist. Darüber hinaus ist es eine bewährte Methode, zuerst zu überprüfen, ob Ihre Installation voll funktionsfähig ist, bevor Sie den Server weiter konfigurieren. Nachdem der HTTP-Zugriff konfiguriert wurde, können Sie den HTTP-Endpunkt und den regulären Netzwerknamen des Servers über TCP/IP verwenden. Durch Einrichten des HTTP-Zugriffs werden andere Methoden für den Datenzugriff nicht ungültig.
Denken Sie bei der MSMDPUMP-Konfiguration daran, dass zwei Verbindungen zu berücksichtigen sind: Client-zu-IIS, IIS-zu-SSAS. Die Anweisungen in diesem Artikel beziehen sich auf IIS-zu-SSAS. Ihre Clientanwendung erfordert möglicherweise zusätzliche Konfigurationen, bevor sie eine Verbindung mit IIS herstellen kann. Entscheidungen wie die, ob SSL verwendet wird oder wie Bindungen zu konfigurieren sind, sind nicht Gegenstand dieses Artikels. Weitere Informationen zu IIS finden Sie unter Webserver (IIS) .
Überblick
MSMDPUMP ist eine ISAPI-Erweiterung, die in IIS geladen wird und die Umleitung zu einer lokalen oder Remote-Analysis-Services-Instanz bereitstellt. Durch die Konfiguration dieser ISAPI-Erweiterung erstellen Sie einen HTTP-Endpunkt für eine Analysis Services-Instanz.
Sie müssen ein virtuelles Verzeichnis für jeden HTTP-Endpunkt erstellen und konfigurieren. Jeder Endpunkt erfordert für jede Analysis Services-Instanz, mit der Sie eine Verbindung herstellen möchten, eine eigene MSMDPUMP-Dateigruppe. In einer Konfigurationsdatei innerhalb der Dateigruppe ist der Name der für die einzelnen HTTP-Endpunkte verwendeten Analysis Services-Instanz angegeben.
In IIS stellt MSMDPUMP mithilfe des Analysis Services OLE DB-Anbieters über TCP/IP eine Verbindung mit Analysis Services her. Obwohl Clientanforderungen von außerhalb von Domänenvertrauensstellungen stammen können, müssen sich Analysis Services und IIS in der gleichen Domäne oder in vertrauenswürdigen Domänen befinden, damit die systemeigene Verbindung hergestellt werden kann.
Die Verbindung von MSMDPUMP zu Analysis Services wird mit einer Windows-Benutzeridentität hergestellt. Dabei kann es sich um das anonyme Konto handeln, wenn Sie das virtuelle Verzeichnis für anonyme Verbindungen konfiguriert haben, oder um ein Windows-Benutzerkonto. Das Konto muss über die entsprechenden Datenzugriffsberechtigungen für Analysis Services-Server und -Datenbank verfügen.
In der folgenden Tabelle sind zusätzliche Überlegungen für das Aktivieren des HTTP-Zugriffs in verschiedenen Szenarien aufgeführt.
Szenario | Konfiguration |
---|---|
IIS und Analysis Services auf demselben Computer | Dies ist die einfachste Konfiguration, da dadurch die Standardkonfiguration (mit dem Servernamen "localhost"), der lokale Analysis Services OLE DB-Anbieter sowie die integrierte Sicherheit von Windows mit NTLM verwendet werden können. Vorausgesetzt, der Client befindet sich ebenfalls in derselben Domäne, ist die Authentifizierung für den Benutzer transparent, ohne zusätzliche Arbeit Ihrerseits. |
IIS und Analysis Services auf verschiedenen Computern | Bei dieser Topologie muss der OLE DB-Anbieter für Analysis Services auf dem Webserver installiert werden. Außerdem muss die Datei msmdpump.ini so bearbeitet werden, dass der Speicherort der Analysis Services-Instanz auf dem Remotecomputer angegeben wird. Diese Topologie fügt einen Doppelhop-Authentifizierungsschritt hinzu, bei dem Anmeldeinformationen vom Client an den Webserver und dann an den Analysis Services-Back-End-Server geleitet werden müssen. Wenn Sie Windows-Anmeldeinformationen und NTLM verwenden, wird ein Fehler ausgegeben, da NTLM keine Delegierung von Clientanmeldeinformationen an einen zweiten Server zulässt. Die gebräuchlichste Lösung ist die Verwendung der Standardauthentifizierung mit SSL (Secure Sockets Layer). Dabei müssen die Benutzer jedoch einen Benutzernamen und ein Kennwort eingeben, wenn Sie auf das virtuelle Verzeichnis MSMDPUMP zugreifen. Ein einfacherer Ansatz wäre, Kerberos zu aktivieren und die eingeschränkte Delegierung von Analysis Services zu konfigurieren, sodass Benutzer auf Analysis Services in transparenter Weise zugreifen können. Einzelheiten finden Sie unter Konfigurieren von Analysis Services für die eingeschränkte Kerberos-Delegierung . Bestimmen Sie, für welche Ports die Blockierung in der Windows-Firewall aufgehoben werden muss. Sie müssen die Blockierung von Ports auf beiden Servern aufheben, um Zugriff auf die Webanwendung in IIS und auf Analysis Services auf einem Remoteserver zu gewähren. |
Clientverbindungen stammen von einer nicht vertrauenswürdigen Domäne oder einer Extranetverbindung | Clientverbindungen von einer nicht vertrauenswürdigen Domäne führen zu weiteren Einschränkungen bei der Authentifizierung. In der Standardeinstellung verwendet Analysis Services die integrierte Windows-Authentifizierung, bei der sich Benutzer in derselben Domäne wie der Server befinden müssen. Extranetbenutzer, die von außerhalb der Domäne eine Verbindung zu IIS herstellen, erhalten einen Verbindungsfehler, wenn der Server für die Verwendung der Standardeinstellungen konfiguriert ist. Als Problemumgehung können Extranetbenutzer eine Verbindung über ein VPN mit Domänenanmeldeinformationen herstellen. Ein besserer Ansatz könnte jedoch sein, die Standardauthentifizierung und SSL auf der IIS-Website zu aktivieren. |
Voraussetzungen
Bei den Anweisungen in diesem Artikel wird davon ausgegangen, dass IIS bereits konfiguriert und Analysis Services bereits installiert ist. Windows Server 2012 wird mit IIS 8.x als Serverrolle geliefert, die Sie auf dem System aktivieren können.
Zusätzliche Konfiguration in IIS 8.0
In der Standardkonfiguration von IIS 8.0 fehlen Komponenten, die für den HTTP-Zugriff auf Analysis Services erforderlich sind. Diese Komponenten finden Sie in den Featurebereichen Sicherheit und Anwendungsentwicklung der Rolle Webserver (IIS) . Sie umfassen Folgendes:
Sicherheit | Windows-Authentifizierung oder Standardauthentifizierung sowie alle anderen Sicherheitsfeatures, die für Ihr Datenzugriffsszenario erforderlich sind.
Anwendungsentwicklung | CGI
Anwendungsentwicklung | ISAPI-Erweiterungen
Um diese Komponenten zu überprüfen oder hinzuzufügen, verwenden Sie Server-Manager | Verwalten | Sie Rollen und Features hinzufügen. Durchlaufen Sie den Assistenten, bis Sie zu Serverrollengelangen. Scrollen Sie nach unten zur Option Webserver (IIS).
Öffnen Sie Web ServerSecurity, | und wählen Sie die Authentifizierungsmethoden aus.
Öffnen Sie Die Entwicklungvon Webserveranwendungen | , und wählen Sie CGI- und ISAPI-Erweiterungen aus.
Wenn IIS auf einem Remoteserver ausgeführt wird
Für eine Remoteverbindung zwischen IIS und Analysis Services müssen Sie den Analysis Services-OLE DB-Anbieter (MSOLAP) auf dem Windows-Server mit IIS installieren.
Wechseln Sie zur Downloadseite für SQL Server 2014 Feature Pack.
Klicken Sie auf die Download-Schaltfläche.
Blättern Sie nach unten zu ENU\x64\SQL_AS_OLEDB.msi
Befolgen Sie die Anweisungen des Assistenten, um die Installation abzuschließen.
Hinweis
Achten Sie darauf, die Blockierung der Ports in der Windows-Firewall aufzuheben, um Clientverbindungen zu einem Analysis Services-Remoteserver zuzulassen. Weitere Informationen finden Sie unter Configure the Windows Firewall to Allow Analysis Services Access.
Schritt 1: Kopieren der MSMDPUMP-Dateien in einen Ordner auf dem Webserver
Jeder erstellte HTTP-Endpunkt muss über eine eigene MSMDPUMP-Dateigruppe verfügen. In diesem Schritt kopieren Sie die ausführbare MSMDPUMP-Datei, die Konfigurationsdatei und den Ressourcenordner aus den Analysis Services-Programmordnern in einen neuen virtuellen Verzeichnisordner, den Sie im Dateisystem des Computers erstellen, auf dem IIS ausgeführt wird.
Das Laufwerk muss für das NTFS-Dateisystem formatiert sein. Der Pfad zum Ordner, den Sie erstellen, darf keine Leerzeichen enthalten.
Kopieren Sie die folgenden Dateien unter <laufwerk>:\Programme\Microsoft SQL Server\<instance>\OLAP\bin\isapi: MSMDPUMP.DLL, MSMDPUMP.INI und einen Ressourcenordner.
Erstellen Sie auf dem Webserver einen neuen Ordner: <drive>:\inetpub\wwwroot\OLAP
Fügen Sie die zuvor kopierten Dateien in diesen neuen Ordner ein.
Stellen Sie sicher, dass der Ordner \inetpub\wwwroot\OLAP auf dem Webserver Folgendes enthält: MSMDPUMP.DLL, MSMDPUMP.INI sowie einen Ordner Resources. Ihre Ordnerstruktur sollte wie folgt aussehen:
<drive>:\inetpub\wwwroot\OLAP\MSMDPUMP.dll
<drive>:\inetpub\wwwroot\OLAP\MSMDPUMP.ini
<drive>:\inetpub\wwwroot\OLAP\Resources
Hinweis
Der IIS-Manager kann möglicherweise keine Verbindung mit Analysis Services in der aktuellen Version herstellen, wenn es sich bei der Datenbank um eine Sicherung aus einer vorherigen Handelt. Dies wird durch Änderungen im MSMDPUMP verursacht und sollte durch Kopieren der msmdpump.dll-Datei aus der vorherigen Arbeitsversion gelöst werden.
Schritt 2: Erstellen eines Anwendungspools und eines virtuellen Verzeichnisses in IIS
Als Nächstes erstellen Sie einen Anwendungspool und einen Endpunkt für die Datapump.
Erstellen eines Anwendungspools
Starten Sie den IIS-Manager.
Öffnen Sie den Serverordner, klicken Sie mit der rechten Maustaste auf Anwendungspools , und klicken Sie dann auf Anwendungspool hinzufügen. Erstellen Sie einen Anwendungspool namens OLAPmithilfe von .NET Framework, wobei der verwaltete Pipelinemodus auf Klassischfestgelegt ist.
Standardmäßig erstellt IIS Anwendungspools mit der Sicherheitsidentität ApplicationPoolIdentity , was eine gültige Auswahl für den HTTP-Zugriff auf Analysis Services ist. Wenn Sie besondere Gründe für das Ändern der Identität haben, klicken Sie mit der rechten Maustaste auf OLAP, und wählen Sie dann Erweiterte Einstellungenaus. Wählen Sie ApplicationPoolIdentityaus. Klicken Sie auf die Schaltfläche Ändern für diese Eigenschaft, um das integrierte Konto durch das benutzerdefinierte Konto zu ersetzen, das Sie verwenden möchten.
In der Standardeinstellung wird auf einem 64-Bit-Betriebssystem die Eigenschaft 32-Bit-Anwendungen aktivieren von IIS auf falsefestgelegt. Wenn Sie msmdpump.dll von einer 64-Bit-Installation von Analysis Services kopiert haben, ist dies die richtige Einstellung für die MSMDPUMP-Erweiterung auf einem 64-Bit-IIS-Server. Wenn Sie die MSMDPUMP-Binärdateien von einer 32-Bit-Installation kopiert haben, setzen Sie die Eigenschaft auf true. Überprüfen Sie nun unter Erweiterte Einstellungen , ob die Eigenschaft richtig festgelegt wurde.
Erstellen einer Anwendung
Öffnen Sie im IIS-Manager zuerst Sitesund dann Standardwebsite. Ein Ordner namens Olapsollte angezeigt werden. Dies ist ein Verweis auf den OLAP-Ordner, den Sie unter \inetpub\wwwroot erstellt haben.
Klicken Sie mit der rechten Maustaste auf den Ordner, und wählen Sie In Anwendung konvertieren.
Geben Sie in "Anwendung hinzufügen" OLAP für den Alias ein. Klicken Sie auf Auswählen , um den OLAP-Anwendungspool auszuwählen. Der physische Pfad sollte auf C:\inetpub\wwwroot\OLAP festgelegt werden.
Klicken Sie auf OK. Aktualisieren Sie die Website, und beachten Sie, dass der OLAP-Ordner jetzt eine Anwendung unter der Standardwebsite darstellt. Der virtuelle Pfad zur Datei MSMDPUMP ist nun hergestellt.
Hinweis
Frühere Versionen dieser Anweisungen enthalten Schritte zum Erstellen eines virtuellen Verzeichnisses. Dieser Schritt ist nicht mehr erforderlich.
Schritt 3: Konfigurieren der IIS-Authentifizierung und Hinzufügen der Erweiterung
In diesem Schritt führen Sie die Konfiguration des soeben erstellten virtuellen SSAS-Verzeichnisses fort. Sie geben eine Authentifizierungsmethode an und fügen dann eine Skriptzuordnung hinzu. Folgende Authentifizierungsmethoden werden für Analysis Services über HTTP unterstützt:
Windows-Authentifizierung (Kerberos oder NTLM)
Standardauthentifizierung
Anonyme Authentifizierung
DieWindows-Authentifizierung wird als sicherste Authentifizierung angesehen und nutzt vorhandene Infrastrukturen für Netzwerke, die Active Directory verwenden. Damit die Windows-Authentifizierung optimal genutzt werden kann, muss sie von allen Browsern, Client- und Serveranwendungen unterstützt werden. Dies ist der sicherste und empfohlene Modus. Allerdings erfordert er, dass IIS auf einen Windows-Domänencontroller zugreifen kann, der die Identität des Benutzers authentifizieren kann, der eine Verbindung anfordert.
In Topologien, in denen sich Analysis Services und IIS auf verschiedenen Computern befinden, müssen Sie Vorkehrungen zur Behandlung von Doppelhopproblemen treffen, die auftreten, wenn eine Benutzeridentität an einen zweiten Dienst auf einem Remotecomputer delegiert werden muss. Dazu aktivieren Sie normalerweise Analysis Services für die eingeschränkte Kerberos-Delegierung. Weitere Informationen finden Sie unter Configure Analysis Services for Kerberos constrained delegation.
DieStandardauthentifizierung wird verwendet, wenn Windows-Identitäten vorhanden sind, die Benutzerverbindungen aber von nicht vertrauenswürdigen Domänen hergestellt werden, wodurch keine delegierten Verbindungen bzw. Verbindungen mit angenommener Identität verwendet werden können. Bei der Standardauthentifizierung können Benutzeridentität und Kennwort in einer Verbindungszeichenfolge angegeben werden. Um eine Verbindung mit Analysis Services herzustellen, werden anstelle des Sicherheitskontexts des aktuellen Benutzers die Anmeldeinformationen in der Verbindungszeichenfolge verwendet. Da Analysis Services nur die Windows-Authentifizierung unterstützt, müssen alle übergebenen Anmeldeinformationen Windows-Benutzern oder -Benutzergruppen entsprechen, die der Domäne angehören, von der Analysis Services gehostet wird.
Dieanonyme Authentifizierung wird häufig in anfänglichen Testverfahren verwendet, weil sie einfach zu konfigurieren ist und hilft, die HTTP-Verbindung mit Analysis Services schnell zu überprüfen. In wenigen Schritten können Sie ein eindeutiges Benutzerkonto als Identität zuweisen, die Kontoberechtigungen in Analysis Services erteilen, über das Konto den Datenzugriff in einer Clientanwendung überprüfen und die anonyme Authentifizierung wieder deaktivieren, wenn die Tests abgeschlossen sind.
Sie können die anonyme Authentifizierung auch in einer Produktionsumgebung verwenden, wenn die Benutzer keine Windows-Benutzerkonten besitzen. Dabei sollten Sie jedoch die im folgenden Artikel beschriebenen bewährten Methoden befolgen und die Berechtigungen für das Hostsystem sperren: Aktivieren der anonymen Authentifizierung (IIS 7). Achten Sie darauf, die Authentifizierung für das virtuelle Verzeichnis und nicht für die übergeordnete Website festzulegen, um die Kontozugriffsebene weiter einzuschränken.
Falls die anonyme Authentifizierung aktiviert ist, kann jeder Benutzer als anonymer Benutzer eine Verbindung mit dem HTTP-Endpunkt herstellen. Sie können keine einzelnen Benutzerverbindungen überwachen oder die Benutzeridentität verwenden, um Daten aus einem Modell auszuwählen. Folglich wirkt sich die Verwendung eines anonymen Kontos nicht nur auf den Modellentwurf, sondern auch auf die Datenaktualisierung und den Datenzugriff aus. Wenn Benutzer anfänglich jedoch keine Windows-Benutzeranmeldung besitzen, besteht in der Verwendung des anonymen Kontos u. U. Ihre einzige Alternative.
Festlegen des Authentifizierungstyps und hinzufügen einer Skriptzuordnung
Öffnen Sie im IIS-Manager Websites, öffnen Sie Standardwebsite, und wählen Sie dann das virtuelle Verzeichnis OLAP aus.
Doppelklicken Sie im IIS-Abschnitt der Hauptseite auf Authentifizierung .
Aktivieren Sie Windows-Authentifizierung , wenn Sie die integrierte Sicherheit von Windows verwenden.
Aktivieren Sie alternativ Standardauthentifizierung , wenn sich Client- und Serveranwendung in verschiedenen Domänen befinden. Dieser Modus erfordert, dass der Benutzer einen Benutzernamen und ein Kennwort eingibt. Der Benutzername und das Kennwort werden über die HTTP-Verbindung an IIS übertragen. Beim Verbinden mit MSMDPUMP versucht IIS, unter Verwendung der bereitgestellten Anmeldeinformationen die Identität des Benutzers anzunehmen, die Anmeldeinformationen werden jedoch nicht an Analysis Services delegiert. Stattdessen müssen Sie einen gültigen Benutzernamen und ein Kennwort in einer Verbindung übergeben, wie in Schritt 6 in diesem Dokument beschrieben.
Wichtig
Beachten Sie, dass für jede Person, die ein System erstellt, in dem das Kennwort übertragen wird, Methoden zur Sicherung des Kommunikationskanals obligatorisch sind. IIS stellt eine Reihe von Tools bereit, mit denen Sie den Kanal sichern können. Weitere Informationen finden Sie unter Einrichten von SSL in IIS 7.
Deaktivieren Sie Anonyme Authentifizierung , wenn Sie die Windows- oder Standardauthentifizierung verwenden. Wenn die anonyme Authentifizierung aktiviert ist, wird sie von IIS selbst dann zuerst verwendet, wenn andere Authentifizierungsmethoden aktiviert sind.
Bei der anonymen Authentifizierung wird die Datapump (msmdpump.dll) als Benutzerkonto ausgeführt, das Sie für den anonymen Benutzer eingerichtet haben. Zwischen dem Benutzer, der eine Verbindung mit IIS herstellt, und dem Benutzer, der eine Verbindung mit Analysis Services herstellt, besteht kein Unterschied. IIS verwendet standardmäßig das IUSR-Konto, Sie können es jedoch in ein Domänenbenutzerkonto ändern, das über Netzwerkberechtigungen verfügt. Sie benötigen diese Funktion, wenn SICH IIS und Analysis Services auf unterschiedlichen Computern befinden.
Anweisungen dazu, wie Anmeldeinformationen für die anonyme Authentifizierung konfiguriert werden, finden Sie unter Anonyme Authentifizierung.
Wichtig
Die anonyme Authentifizierung wird am häufigsten in einer stark kontrollierten Umgebung verwendet, in der Benutzern der Zugriff anhand von Zugriffssteuerungslisten im Dateisystem gewährt oder verweigert wird. Bewährte Methoden finden Sie unter Aktivieren der anonymen Authentifizierung (IIS 7).
Klicken Sie auf das virtuelle Verzeichnis OLAP , um die Hauptseite zu öffnen. Doppelklicken Sie auf Handlerzuordnungen.
Klicken Sie mit der rechten Maustaste an einer beliebigen Stelle auf die Seite, und wählen Sie dann Skriptzuordnung hinzufügenaus. Geben Sie im Dialogfeld Skriptzuordnung hinzufügen *.dll als Anforderungspfad an, geben Sie c:\inetpub\wwwroot\OLAP\msmdpump.dll als ausführbare Datei an, und geben Sie OLAP als Namen ein. Übernehmen Sie alle Standardeinschränkungen, die dieser Skriptzuordnung zugeordnet sind.
Klicken Sie bei der Aufforderung zum Zulassen der ISAPI-Erweiterung auf Ja.
Schritt 4: Bearbeiten der Datei "MSMDPUMP.INI" zum Festlegen des Zielservers
In der Datei MSMDPUMP.INI ist die Analysis Services-Instanz angegeben, mit der MSMDPUMP.DLL eine Verbindung herstellt. Diese Instanz kann lokal oder remote als Standard- oder benannte Instanz installiert sein.
Öffnen Sie die Datei msmdpump.ini im Ordner C:\inetpub\wwwroot\OLAP, und überprüfen Sie den Inhalt der Datei. Die Anzeige sollte folgendermaßen aussehen:
<ConfigurationSettings>
<ServerName>localhost</ServerName>
<SessionTimeout>3600</SessionTimeout>
<ConnectionPoolSize>100</ConnectionPoolSize>
</ConfigurationSettings>
Wenn sich die Analysis Services-Instanz, für die Sie den HTTP-Zugriff konfigurieren, auf dem lokalen Computer befindet und als Standardinstanz installiert ist, gibt es keinen Grund, diese Einstellung zu ändern. Andernfalls müssen Sie den Servernamen angeben (z. B <. Servername>ADWRKS-SRV01</ServerName>). Achten Sie bei einem Server, der als benannter instance installiert ist, darauf, den namen der instance anzufügen (z<. B. ServerName>ADWRKS-SRV01\Tabular</ServerName>).
In der Standardeinstellung lauscht Analysis Services an TCP/IP-Port 2383. Wenn Sie Analysis Services als Standard-instance installiert haben, müssen Sie keinen Port in <ServerName> angeben, da Analysis Services weiß, wie port 2383 automatisch überwacht wird. Sie müssen jedoch eingehende Verbindungen zu diesem Port in der Windows-Firewall zulassen. Weitere Informationen finden Sie unter Configure the Windows Firewall to Allow Analysis Services Access.
Wenn Sie eine benannte oder standardmäßige instance von Analysis Services konfiguriert haben, um an einem festen Port zu lauschen, müssen Sie die Portnummer dem Servernamen hinzufügen (z. B<. Servername>AW-SRV01:5555/<ServerName>), und Sie müssen eingehende Verbindungen in der Windows-Firewall zu diesem Port zulassen.
Schritt 5: Erteilen von Datenzugriffsberechtigungen
Wie bereits erwähnt, müssen Sie in der Analysis Services-Instanz Berechtigungen erteilen. Jedes Datenbankobjekt verfügt über Rollen, die eine bestimmte Berechtigungsstufe (Lese- oder Lese-/Schreibzugriff) gewähren, und jede Rolle verfügt über Mitglieder in Form von Windows-Benutzeridentitäten.
Sie können Berechtigungen mithilfe von SQL Server Management Studio festlegen. Im Ordner Datenbankrollen | können Sie Rollen erstellen, Datenbankberechtigungen angeben, Windows-Benutzer- oder Gruppenkonten Mitgliedschaft zuweisen und dann Lese- oder Schreibberechtigungen für bestimmte Objekte erteilen. Bei Clientverbindungen, über die Modelldaten verwendet, aber nicht aktualisiert werden, sind normalerweise Leseberechtigungen für einen Cube ausreichend.
Die Rollenzuweisung hängt davon ab, wie die Authentifizierung konfiguriert wurde.
Authentifizierung | Rollenzuweisung |
---|---|
Anonym | Fügen Sie der Liste „Mitgliedschaft“ das unter Anmeldeinformationen für anonyme Authentifizierung bearbeiten in IIS angegebene Konto hinzu. Weitere Informationen finden Sie unter Anonyme Authentifizierung, |
Windows-Authentifizierung | Fügen Sie der Liste Mitgliedschaft die Windows-Benutzer- oder -Gruppenkonten hinzu, über die Analysis Services-Daten per Identitätswechsel oder Delegierung angefordert werden. Falls eingeschränkte Kerberos-Delegierung verwendet wird, benötigen nur die Windows-Benutzer- und -Gruppenkonten, die Zugriff anfordern, Berechtigungen. Für die Anwendungspoolidentität sind keine Berechtigungen erforderlich. |
Standardauthentifizierung | Fügen Sie der Liste Mitgliedschaft die Windows-Benutzer- oder -Gruppenkonten hinzu, die in der Verbindungszeichenfolge übergeben werden. Falls Sie Anmeldeinformationen über EffectiveUserName in der Verbindungszeichenfolge übergeben, muss die Anwendungspoolidentität außerdem über Administratorrechte in der Analysis Services-Instanz verfügen. Klicken Sie in SSMS mit der rechten Maustaste auf die instance | Eigenschaften | Sicherheit | Fügen Sie hinzu. Geben Sie die Anwendungspoolidentität ein. Wenn Sie die integrierte Standardidentität verwendet haben, wird das Konto als IIS AppPool\DefaultAppPool angegeben. wird. |
Weitere Informationen zum Festlegen von Berechtigungen finden Sie unter Autorisieren des Zugriffs auf Objekte und Vorgänge (Analysis Services).
Schritt 6: Testen der Konfiguration
Die Verbindungszeichenfolgensyntax für MSMDPUMP entspricht der URL zur Datei MSMDPUMP.dll.
Wenn die Webanwendung an einem festen Port lauscht, fügen Sie die Portnummer an den Servernamen oder die IP-Adresse an (z. B http://my-web-srv01:8080/OLAP/msmdpump.dll
. oder http://123.456.789.012:8080/OLAP/msmdpump.dll
).
Eine schnelle Methode zum Testen der Verbindung ist das Öffnen einer Verbindung mit Internet Explorer, Microsoft Excel oder SQL Server Management Studio.
Problembehandlung bei Verbindungen mithilfe von Internet Explorer
Eine Verbindungsanforderung, die mit diesem Fehler beendet wird, gibt ihnen möglicherweise nicht viel Zulauf: "Entweder kann keine Verbindung mit '<Servername>' hergestellt werden, oder Analysis Service wird nicht auf dem Server ausgeführt.".
Um eine ausführlichere Fehlermeldung zu erhalten, führen Sie folgende Schritte aus:
Deaktivieren Sie unter Internet Explorer>Internetoptionen>Erweitert das Kontrollkästchen Für Benutzerfreundliche HTTP-Nachrichten anzeigen.
Wiederholen Sie die Verbindung (z. B
http://my-web-srv01:8080/OLAP/msmdpump.dll
. )
Wenn im Browserfenster eine FEHLER-XML angezeigt wird, können Sie MSMDPUMP als mögliche Ursache entfernen und den Fokus auf das Zertifikat verschieben.
Testen von Verbindungen mit SQL Server Management Studio
Wählen Sie in Management Studio im Dialogfeld „Verbindung mit Server herstellen“ als Servertyp Analysis Services aus. Geben Sie als Servernamen die HTTP-Adresse der Erweiterung "msmdpump" ein:
http://my-web-srv01/OLAP/msmdpump.dll
.Im Objekt-Explorer wird die HTTP-Verbindung angezeigt:
Als Authentifizierung muss die Windows-Authentifizierung verwendet werden, und die Person, die Management Studio verwendet, muss ein Analysis Services-Administrator sein. Ein Administrator kann weitere Berechtigungen erteilen, um anderen Benutzern Zugriff zu gewähren.
Testen von Verbindungen mit Excel
Klicken Sie auf der Registerkarte „Daten“ in Excel unter „Externe Daten abrufen“ auf Aus anderen Quellen, und wählen Sie dann Von Analysis Services , um den Datenverbindungs-Assistenten zu starten.
Geben Sie als Servernamen die HTTP-Adresse der Erweiterung "msmdpump" ein:
http://my-web-srv01/OLAP/msmdpump.dll
.Wenn Sie die integrierte Sicherheit von Windows, NTLM oder ein anonymes Konto verwenden, wählen Sie unter Anmeldeinformationen die Option Windows-Authentifizierung verwenden aus.
Wählen Sie für die Standardauthentifizierung Folgenden Benutzernamen und folgendes Kennwort verwendenaus, und geben Sie die erforderlichen Anmeldeinformationen an. Die angegebenen Anmeldeinformationen werden in der Verbindungszeichenfolge an Analysis Services übergeben.
Testen von Verbindungen mit AMO
Sie können den HTTP-Zugriff programmgesteuert mithilfe von AMO testen, indem Sie die URL des Endpunkts durch den Servernamen ersetzen. Ausführliche Informationen finden Sie im Forumsbeitrag (Synchronisieren von SSAS 2008 R2-Datenbanken mittels HTTPS über Domänen-/Gesamtstruktur- und Firewallgrenzen hinweg).
Hier eine Beispielverbindungszeichenfolge, die die Syntax für den HTTP(S)-Zugriff unter Verwendung der Standardauthentifizierung veranschaulicht:
Data Source=https://<servername>/olap/msmdpump.dll; Initial Catalog=AdventureWorksDW2012; Integrated Security=Basic; User ID=XXXX; Password=XXXXX;
Weitere Informationen zum programmgesteuerten Herstellen einer Verbindung finden Sie unter Aufbauen von sicheren Verbindungen in ADOMD.NET.
Führen Sie abschließend gründlichere Tests durch, indem Sie einen Clientcomputer verwenden, der in der Netzwerkumgebung ausgeführt wird, aus der die Verbindungen hergestellt werden.
Weitere Informationen
Forumsbeitrag (HTTP-Zugriff mit MSMDPUMP und Standardauthentifizierung)
Konfigurieren der Windows-Firewall, um den Zugriff auf Analysis Services zuzulassen
Autorisieren des Zugriffs auf Objekte und Vorgänge (Analysis Services)
IIS-Authentifizierungsmethoden
Einrichtung von SSL auf IIS 7