SQL Server Analysis Services 的 Kerberos 驗證 (SharePoint Server 2010)
適用版本: SharePoint Server 2010
上次修改主題的時間: 2016-11-30
在此案例中,您可以執行下列事項:
在 SQL Server 2008 R2 叢集中設定 Analysis Service 執行個體以使用 Kerberos 驗證
確認用戶端可以使用 Kerberos 驗證對叢集進行驗證
啟用 SQL Server Analysis Services 的 Kerberos 驗證,與 SQL Server 類似
注意
如果您是安裝在 Windows Server 2008,則可能必須安裝下列 Hotfix 以進行 Kerberos 驗證:
使用 AES 演算法時,在執行 Windows Server 2008 或 Windows Vista 的電腦上,Kerberos 會驗證失敗,且錯誤碼為 0X80090302 或 0x8009030f (https://support.microsoft.com/kb/969083/zh-tw)
設定檢查清單
| 設定區域 | 描述 |
|---|---|
設定 Active Directory |
建立 Analysis Services 執行個體的服務主要名稱 (SPN) |
驗證 SQL Kerberos 設定 |
在 Excel 2010 中連線至 Analysis Services 執行個體 |
逐步式設定指示
設定 Active Directory
若要讓 SQL Server Analysis Services 使用 Kerberos 驗證來驗證用戶端,則必須在執行 SQL Server 的服務帳戶上登錄服務主要名稱 (SPN)。預設 Analysis Services 執行個體之 SPN 所使用的格式如下:
MSOLAPSvc.3/<FQDN>
請注意,如果您是使用 Analysis Services 的具名執行個體,則會無法在冒號後面指定連接埠。如果您這樣做,則會將它解譯為主機名稱或網域名稱的一部分。而是必須使用實際執行個體名稱,所有功能才能正確運作。
MSOLAPSvc.3/<FQDN>:instanceName
如需登錄 SQL Server 2008 之 SPN 的詳細資訊,請參閱 https://support.microsoft.com/kb/917409/zh-tw。
此案例假設使用預設 Analysis Services 執行個體。我們會使用下列 SetSPN 命令,在 Analysis Services 服務帳戶 (vmlab\svcSQLAS) 上設定 Analysis Services SPN:
SetSPN -S MSOLAPSvc.3/MySQLCluster.vmlab.local vmlab\svcSQLAS
SQL Server 具名執行個體
如果您使用 SQL Server 具名執行個體,而非預設執行個體,則必須登錄 SQL Server 執行個體特有的 SPN 和 SQL Server Browser 服務的 SPN。如需設定具名執行個體之 Kerberos 驗證的詳細資訊,請參閱下列文章:
確認 SQL Server Kerberos 設定
設定 SPN 之後,請使用 Excel 2010 驗證叢集與的 Kerberos 連線。
使用可以存取 Analysis Services 執行個體中至少一個資料庫的網域帳戶,在用戶端電腦上開啟 Excel 2010,以及選取 [資料] 索引標籤,並按一下 [從其他來源],然後按一下 [從 Analysis Services],開啟與 Analysis Services 執行個體的資料連線。
在 [資料連線精靈] 的 [伺服器名稱] 方塊中輸入 MySQLCluster,然後按 [下一步]。如果 Kerberos 驗證正在運作,則您可以看到已有權查看的所有資料庫。
注意
若要使用 AdventureWorks 2008 R2 範例資料庫,請從 Microsoft SQL Server 社群專案和範例 (可能為英文網頁)進行下載,並遵循安裝指示。
在資料庫伺服器 (vmsql2k8r2-01) 上開啟事件檢視器。您現在應該可以在安全性記錄檔中看到與案例 2<SQL OLTP 的 Kerberos 驗證 (SharePoint Server 2010)>之驗證步驟中類似的稽核成功。