Udostępnij za pośrednictwem

  • Artykuł

Skonfigurować dostęp HTTP do programu SQL Server Analysis Services na serwerze IIS 7.0

Konfigurując MSMDPUMP.dll rozszerzenia ISAPI, działający w Internet Information Services (IIS) i pompy danych do i z aplikacji klient i serwera usług Analysis Services, można włączyć dostęp HTTP do usługi Analysis Services.Takie podejście oferuje alternatywę oznacza łączenie usług Analysis Services, gdy rozwiązanie OLAP wywołuje następujące możliwości:

  • Dostęp klienta jest za pośrednictwem Internetu lub połączenia ekstranetowe z ograniczeniami, które porty mogą być włączone.Lub połączenia klient są z niezaufanych domen w tej samej sieci.

  • Klient jest uruchamiany w środowisku sieciowym umożliwiająca HTTP, ale nie połączeń TCP/IP.

  • Metody uwierzytelniania, innych niż zintegrowane zabezpieczenia systemu Windows są wymagane.Program IIS obsługuje połączenia anonimowe i uwierzytelnianie podstawowego.Konfigurowania usług Analysis Services dostęp HTTP umożliwia korzystanie z tych metod alternatywnych uwierzytelnianie z usług Analysis Services.

  • Aplikacje klienckie nie można używać bibliotek klient usług Analysis Services (na przykład Java aplikacji uruchomionych na serwerze systemu UNIX).Nie można użyć biblioteki klient usług Analysis Services dla dostępu do danych, można użyć protokołu SOAP i XML/A przez bezpośrednie połączenie HTTP do wystąpienie usługi Analysis Services.

W tym temacie wyjaśniono sposób zestaw HTTP dostępu do usług analiz instancji przy użyciu usług IIS 7.0.Instrukcje te są ważne dla wszystkich obsługiwanych wersja lub edition wystąpienie Analysis Services OLAP, które interfejsy z usługami IIS 7.0, SQL Server 2008 R2, program SQL Server 2008 i programu SQL Server 2005.

Ten temat zawiera następujące sekcje:

Overview

Copy the MSMDPUMP.dll to a folder on the Web server

Create an application pool and virtual directory in IIS

Configure IIS authentication and add the extension

Edit the MSMDPUMP.INI file to set the target server

Test your configuration

Omówienie

MSMDPUMP jest rozszerzenie ISAPI, która ładuje do usług IIS i zawiera przekierowanie do wystąpienie usług Analysis Services, która jest na tym samym komputerze lub komputerze zdalnym w obrębie tej samej domena.Należy utworzyć i skonfigurować jeden katalog wirtualny, każdy z własnym zestaw plików MSMDPUMP, dla każdego wystąpienie usługi Analysis Services chcesz się połączyć.Plik konfiguracja w każdym zestaw z MSMDPUMP plików Określa nazwę wystąpienie serwera Analysis Services używany dla każdego punktu końcowego HTTP.

MSMDPUMP łączy na serwerze IIS, usługi Analysis Services przy użyciu analizy usług dostawca OLE DB przez TCP/IP.Usługi Analysis Services i usługi IIS muszą być w tej samej domena lub w zaufanych domenas macierzystym połączenie powiodła się.

Gdy MSMDPUMP łączy się z usług Analysis Services, robi tożsamością użytkownika systemu Windows.To konto będzie albo być konto anonimowe, jeśli skonfigurowano katalog wirtualny dla połączeń anonimowych lub konto użytkownika systemu Windows.Konto musi mieć prawa dostępu do odpowiednich danych na serwer usług Analysis Services i bazy danych.

Ostrzeżenie

Pamiętaj, aby odblokować porty w Zaporze systemu Windows, aby zezwalać na połączenia klient do zdalnego serwera Analysis Services.Aby uzyskać więcej informacji, zobacz Konfigurowanie Zapory systemu Windows dla Analysis Services dostępu.

SSAS_HttpAccess_Pump

W poniższej tabela przedstawiono dodatkowe zagadnienia, gdy włączysz dostęp HTTP dla różnych scenariuszy.

Scenariusz

Konfiguracja

Usługi IIS i Analysis Services na tym samym komputerze.

Jest to najprostsza konfiguracja, ponieważ pozwala używać domyślnej konfiguracji (gdzie nazwa serwera jest localhost), lokalnego Analysis Services dostawca OLE DB i zintegrowane zabezpieczenia systemu Windows z NTLM.Zakładając, że klient jest również w tym samym domena, uwierzytelnianie użytkownika jest przezroczyste dla użytkownika, nie dodatkowej pracy.

Usługi IIS i Analysis Services na różnych komputerach

Aby ta topologia Analysis Services dostawca OLE DB należy zainstalować na serwerze sieci web.Należy także edytować plik msmdpump.ini, aby określić lokalizację wystąpienie usług Analysis Services na komputerze zdalnym.

Ta topologia dodaje double -przeskok kroku uwierzytelniania, gdzie poświadczenia przepływu musi od klient do serwera sieci web i do wewnętrznej bazy danych usług Analysis Services serwera.Jeśli używasz systemu Windows, poświadczenia i NTLM zostanie komunikat o błędzie, ponieważ NTLM nie zezwala na delegowanie klient poświadczeń do drugiego serwera.Najczęstszym rozwiązaniem jest użycie uwierzytelnianie podstawowego z Secure Sockets Layer (SSL), ale wymaga to użytkowników o podanie nazwy użytkownika i hasła podczas uzyskiwania dostępu do katalogu wirtualnego MSMDPUMP.Bardziej bezpośrednie podejście może być Kerberos włączyć i skonfigurować delegowanie ograniczone w usługach Analysis Services, dzięki czemu użytkownicy mogą uzyskać dostęp do usługi Analysis Services w sposób przejrzysty.

Należy rozważyć, które porty, aby odblokować w Zaporze systemu Windows.Należy odblokować portów na obu serwerach, aby zezwolić na dostęp do aplikacji sieci web na serwerze IIS i Analysis Services na serwerze zdalnym.

Połączenia klientów są-zaufanej domena lub połączenia ekstranetu

Połączenia klientów z domena zaufanej wprowadzenie dalszych ograniczeń uwierzytelnianie.Domyślnie usługi Analysis Services używa zintegrowanego uwierzytelnianie systemu Windows, które wymaga od użytkowników na tym samym domena jako serwer.Jeśli ekstranetu użytkowników, którzy łączą się z usług IIS poza domena, jeśli serwer jest skonfigurowany do używania domyślnych ustawień użytkowników otrzymają błąd połączenia.

Rozwiązania obejmują mających połączenia użytkowników ekstranetu przez sieć VPN przy użyciu poświadczenia domena.Lepszym rozwiązaniem może być jednak włączyć uwierzytelnianie podstawowe i SSL witryny sieci web usług IIS.

Skopiuj do folderu na serwerze sieci Web MSMDPUMP.dll

W tej sekcji, skopiuj plik wykonywalny MSMDPUMP plik konfiguracja, a pliki zasób z usług analiz programu foldery do folderu katalogu wirtualnego OLAP, utworzony w systemie plików.

Dysk musi być sformatowana w systemie plików NTFS.Ścieżka do utworzonego folderu nie może zawierać żadnych spacji.

  1. Na serwerze sieci web Utwórz następujący folder: <dysk>: \inetpub\wwwroot\olap

  2. Skopiuj zawartość folderu ISAPI na komputerze usługi Analysis Services do utworzonego folderu \inetpub\wwwroot\olap.

    ISAPI folder można znaleźć w <dysku>: \Program Files\Microsoft SQL Server\<wystąpienie>\OLAP\bin\isapi.Zawiera on następujące pliki i foldery: MSMDPUMP.BIBLIOTEKA DLL MSMDPUMP.INI, a folder zasób, który zawiera pliki zasób językowych.

    Ostrzeżenie

    Należy zauważyć, że format wystąpienie nazwa została zmieniona w najnowsze wersje programu SQL Server.Jeśli używasz programu SQL Server 2008 R2 wystąpienie domyślne nazwa jest MSAS10_50.MSSQLSERVER.Jeśli używasz wcześniejszej wersji programu SQL Server, wystąpienie sekwencyjnie przez kolejność instalacji do tworzenia nazw gdzie MSSQL.1 jest zainstalowana usługa pierwszy, MSSQL.2 jest usługa drugiego itd.Należy otworzyć foldery wystąpienie ustalenie, która z nich ma pliki programu Analysis Services.

  3. Sprawdź, czy w folderze \inetpub\wwwroot\olap\isapi na serwerze sieci web zawiera następujące czynności: MSMDPUMP.BIBLIOTEKA DLL MSMDPUMP.INI, a folder zasoby.

Tworzenie puli aplikacji i katalogu wirtualnego w usługach IIS

Konfigurowanie dostępu HTTP zaczyna się tworzenie puli aplikacji i katalog wirtualny, który zawiera punkt końcowy do pompy.

Tworzenie puli aplikacji

  1. Uruchom Menedżera IIS.Kliknij Start, wskaż uruchomić, a następnie wpisz Inetmgr.

    SSAS_HttpAccess_Inetmgr

  2. Kliknij prawym przyciskiem myszy Pule aplikacji , a następnie kliknij przycisk Puli aplikacji Dodaj.Tworzenie puli aplikacji o nazwie OLAP, przy użyciu.NET Framework v2.0.50727, zarządzane rurociąg tryb zestaw do Klasyczny.

    SSAS_HttpAccess_AddAP

  3. Domyślnie program IIS tworzy pule aplikacji za pomocą usługi sieciowej jako tożsamość zabezpieczeń.Aby zmienić tożsamość puli aplikacji utworzony, kliknij prawym przyciskiem myszy OLAP, a następnie wybierz Ustawienia zaawansowane.

    SSAS_HttpAccess_AdvSettings

  4. W tożsamość kliknij przycisk Konto wbudowane określonych usług IIS.W zależności od wersja systemu Windows, którego używasz, jest to albo Usługa sieciowa (przedstawione w zrzut ekranu) lub uzyskiwania.Kliknij Zmiana przycisk dla tej właściwość zastąpić niestandardową konta wbudowanego konta.

  5. Domyślnie w 64-bitowym systemie operacyjnym, IIS ustawia włączyć 32-bitowych aplikacji właściwość false.Msmdpump.dll skopiowane z instalacji 64-bitowej programu Analysis Services, jest to poprawne ustawienia dla rozszerzenia MSMDPUMP na serwerze IIS 64-bitowych.Jeśli skopiowane pliki binarne MSMDPUMP z instalacji 32-bitowe, zestaw do true.Sprawdzić tę właściwość, aby upewnić się, że wynosi obecnie zestaw poprawnie.

Utwórz katalog wirtualny

  1. Otwórz Menedżera usług IIS, witryny, kliknij prawym przyciskiem myszy Domyślna witryna sieci Web (lub witryny web, niezależnie od, które są przy użyciu pompy dostęp do), a następnie kliknij przycisk Dodać katalog wirtualny.

  2. W polu Alias Wpisz OLAP.

  3. W ścieżce fizycznej kliknij przycisk przeglądania i przejdź do C:\inetpub\wwwroot\olap.Click OK.

    SSAS_HttpAccess_AddVdir

  4. Kliknij prawym przyciskiem myszy katalog wirtualny OLAP, wystarczy utworzyć, a następnie kliknij przekonwertować aplikację.Zaakceptuj wszystkie wartości domyślne.Kliknij OK przekonwertować aplikację.

Konfigurowanie uwierzytelnianie usług IIS i dodaj rozszerzenie

W tej sekcji dalej konfigurować utworzony katalog wirtualny OLAP.Będzie określić metoda uwierzytelnianie, a następnie dodać mapowanie skryptów.Aby uzyskać więcej informacji na temat metod uwierzytelnianie, zobacz Metod uwierzytelnianie usług IIS.

  1. Otwórz Menedżera usług IIS, witryny, otwórz Domyślna witryna sieci Web, a następnie wybierz katalog wirtualny OLAP.

  2. Kliknij dwukrotnie uwierzytelniania w części strona głównej usług IIS.

    SSAS_HttpAccess_IIS

  3. Włącz Uwierzytelniania systemu Windows Jeśli używasz zintegrowanych zabezpieczeń systemu Windows.

    Jest to tryb bezpieczny i najbardziej zalecane, ale wymaga to, że usługi IIS mieć dostęp do poświadczenia domena przy użyciu Microsoft Active Directory ® lub innego mechanizmu.Usługi Analysis Services i usługi IIS są na różnych komputerach, należy włączyć protokół Kerberos i konfigurowania usług Analysis Services dla delegowania ograniczonego.Jest poza zakres tego tematu, w celu omówienia wszystkich możliwych konfiguracji.

    SSAS_HttpAccess_IISAuth

  4. Włącz Uwierzytelnianie anonimowe , jeśli są obsługi połączeń za pośrednictwem IUSR_<nazwa_komputera>.W przeciwnym wypadku należy wyłączyć tę metoda uwierzytelnianie.Jeśli włączone jest uwierzytelnianie anonimowe, usługi IIS zawsze użyje go najpierw nawet, jeśli włączone inne metody uwierzytelniania.

    Jeśli jest włączone uwierzytelnianie anonimowe, upewnij się, że konto IUSR_<nazwa_komputera> konto na serwerze sieci web ma uprawnienia dostępu do odpowiednich danych w bazie danych usług Analysis Services.

    Gdy ten tryb jest wybrany, pompy (msmdpump.dll) uruchamiane przy użyciu poświadczenia IUSR_<nazwa_komputera>.Dlatego każdego połączenia usług Analysis Services jest otwierany jako IUSR_<nazwa_komputera> użytkownika.Po wybraniu tego trybu nie ma żadnego rozróżnienia między użytkownika, który łączy się z usługami IIS, które Analysis Services.Ten tryb jest najbardziej prawdopodobne w niezwykle kontrolowanego środowiska, gdy użytkownicy są podane lub odmowa dostępu przez listy kontroli dostępu w katalogu wirtualnym.

  5. Włącz Uwierzytelniania podstawowego , jeśli aplikacje klient i serwer znajdują się w różnych domenach.Tryb ten wymaga od użytkownika wprowadź nazwę użytkownika i hasło.Nazwa użytkownika i hasło są przesyłane za pośrednictwem połączenia HTTP do programu IIS.Program IIS będzie próbował dokonać personifikacji użytkownika przy użyciu podanych poświadczenia.Należy zauważyć, że konieczne jest dla każdego systemu budowania gdzie hasła są przesyłane mają sposoby zabezpieczania kanału komunikacyjnego.Program IIS udostępnia zestaw narzędzi, które pomagają bezpiecznego kanału.Aby uzyskać więcej informacji, zobacz How górę protokołu SSL na IIS 7.

    Uwierzytelnianie podstawowe jest przydatne, kiedy chcesz zebrać poświadczenia użytkownika z klient, dające użytkownikom sposób dostępu do witryna sieci Web przy użyciu poświadczeń, które różnią się od ich osobistego konta logowania systemu Windows.Po wybraniu podstawowe uwierzytelnianie usług IIS odczytuje nagłówka HTTP każdy wniosek o nazwę użytkownika i hasło.Jeśli nie znajdzie prawidłowe poświadczenia usługi IIS wysyła odpowiedzi do klient, pytając o nazwę użytkownika i hasło.Klient monituje użytkownika o poświadczenia, a następnie używa kodowania Base64 do wysyłania nazwy użytkownika i hasła do serwera.Mimo, że poświadczenia są kodowane, nie są szyfrowane i dlatego nie są bezpieczne.Dlatego właśnie zdecydowanie zaleca, aby witryny sieci Web za pomocą kombinacji uwierzytelnianie podstawowe i SSL zaszyfrować poświadczenia, które klient wysyła do serwera.

  6. Kliknij katalog wirtualny OLAP, aby otworzyć strona główną.Kliknij dwukrotnie Mapowania obsługi.

    SSAS_HttpAccess_IIS

  7. Kliknij prawym przyciskiem myszy w dowolnym miejscu strona, a następnie wybierz Dodać mapowanie skryptów.W oknie dialogowym Dodawanie mapowania skryptów określić *.dll jako ścieżka żądania, określić c:\inetpub\wwwroot\olap\msmdpump.dll jako plik wykonywalny i wpisz nazwę OLAP.

    SSAS_HttpAccess_AddScript

  8. Kliknij ograniczenia żądań.

  9. Na karcie zleceń, sprawdź, czy wszystkie zlecenia jest zaznaczone.Kliknij OK, a następnie kliknij przycisk OK ponownie, aby zakończyć dodawanie mapowania skryptu.

    SSAS_HttpAccess_RequestRestrictions

  10. Po wyświetleniu monitu, aby umożliwić rozszerzenie ISAPI, kliknij Tak.

    SSAS_HttpAccess_ISAPIPrompt

Edytowanie MSMDPUMP.Ustawianie pliku INIserwer docelowy

Otwórz plik msmdpump.ini znajdujący się w folderze C:\inetpub\wwwroot\OLAPand przyjrzeć zawartość tego pliku.To powinno wyglądać następująco:

<ConfigurationSettings>
<ServerName>localhost</ServerName>
<SessionTimeout>3600</SessionTimeout>
<ConnectionPoolSize>100</ConnectionPoolSize>
</ConfigurationSettings>

Jeśli wystąpienie usług Analysis Services, dla którego chcesz skonfigurować dostęp HTTP jest na komputerze lokalnym i zainstalowany jako wystąpienie domyślne, nie ma żadnego powodu, aby zmienić to ustawienie.W przeciwnym przypadku należy określić nazwa serwera (na przykład <nazwa_serwera>Srw01 ADWRKS</ServerName>).

Domyślnie usługi Analysis Services nasłuchuje TCP/IP port 2838.Jeśli usługi Analysis Services jest zainstalowany jako wystąpienie domyślne, nie trzeba określać dowolnego portu w <nazwa_serwera> , ponieważ usługi analizy wie, jak do nasłuchu na porcie 2838 automatycznie.Jednakże należy zezwolić na połączenia przychodzące do tego portu w Zaporze systemu Windows.Aby uzyskać więcej informacji, zobacz Konfigurowanie Zapory systemu Windows dla Analysis Services dostępu.

Jeśli skonfigurowane nazwanym lub wystąpienie domyślne usług Analysis Services do nasłuchu na porcie stałych, należy dodać numer portu do nazwa serwera (na przykład <nazwa_serwera>AW-SRV01:55555</ServerName>) i należy zezwolić na połączenia przychodzące w Zaporze systemu Windows to podłączanego do

Testowanie konfiguracja

Połączenie ciąg MSMDPUMP składnia jest adres URL do pliku MSMDPUMP.dll.

Jeśli aplikacji sieci web nasłuchuje na porcie stałych, Dołącz numer portu do nazwa serwera lub adresu IP (na przykład http://my-web-srv01:8080/olap/msmdpump.dll lub http://123.456.789.012:8080/olap/msmdpump.dll.

Aby szybko przetestować połączenie, można otworzyć połączenia przy użyciu programu SQL Server Management Studio.Łączenie z serwerem, okno dialogowe Wybierz Analysis Services jako typ serwera.W polu Nazwa serwera wprowadź adres HTTP rozszerzenie msmdpump: https://localhost/olap/msmdpump.dll.

Należy koniecznie kontrolnej z bardziej rygorystyczne testy, za pomocą komputera rzeczywistego klient, działającą w środowisku sieciowym, z którego pochodzą będzie połączeń.Pamiętaj, aby udzielić odpowiednich uprawnień na serwerze Analysis Services (IUSR_ albo<nazwa_komputera> Jeśli włączone anonimowe połączenia lub Windows tożsamości użytkowników, którzy łączą się z MSMDPUMP z usług IIS).