使用域用户帐户配置规划服务器的 Kerberos 委派
为帮助实现更安全的部署,我们建议您使用仅分配给 Microsoft Office PerformancePoint Server 2007 应用程序池的域用户帐户,而不是使用 Network Service 帐户。这种配置更为安全,因为您可以仅向该域用户帐户授予必要的权限。此外,其他服务都不共享同一组凭据,也没有权限访问配置管理向导设置的资源,例如应用数据库。尽管如此,这种模式下的委派也不完全安全,因为以 Network Service 帐户运行的其他服务仍然可以使用模拟令牌。
为 Windows 2000 Server 功能域配置 Kerberos 委派
在域控制器上,打开“Active Directory 用户和计算机”,然后单击“计算机”。
****针对部署中的每个 PerformancePoint Server 网站和每台数据源服务器单击鼠标右键,然后选择“属性”。验证是否已为每台计算机选中“信任计算机作为委派”复选框。
使用以下步骤,为每个 PerformancePoint Server 网站设置一个服务主体名称 (SPN)。
登录到域控制器。
下载Manipulate Service Principal Names for Accounts工具(网址为 https://go.microsoft.com/fwlink/?LinkID=99939&clcid=0x409)。
键入以下命令,为每个 PerformancePoint Server 网站和应用程序池帐户添加一个 SPN:
setspn –A HTTP/<serverName>.<Fully qualified domain name> <Account>
setspn –A HTTP/<serverName> <Account>
为 Windows Server 2003 功能域配置 Kerberos 委派
在域控制器上,打开“Active Directory 用户和计算机”,然后单击“计算机”。
****针对部署中的每个 PerformancePoint Server 网站和每台数据源服务器单击鼠标右键,然后选择“属性”。在“委派”选项卡上,为每台计算机选择“信任此计算机来委派任何服务(仅 Kerberos)”****选项。
为每个 PerformancePoint Server 网站设置一个 SPN。
登录到域控制器。
下载Manipulate Service Principal Names for Accounts工具(网址为 https://go.microsoft.com/fwlink/?LinkID=99939&clcid=0x409)。
键入以下命令,为每个 PerformancePoint Server 网站和应用程序池帐户添加一个 SPN:
setspn –A HTTP/<serverName>.<Fully qualified domain name> <Account>
setspn –A HTTP/ <serverName> <Account>
配置 PerformancePoint 规划 Web 服务
确保每个规划网站都已将应用程序池标识设置为 SPN 中输入的值。
执行以下两个分步,查找 PerformancePoint 规划中规划管理控制台和前端网站的数字标识符。
依次单击“开始”和“运行”,****键入 inetmrg,然后按 Enter。
展开本地计算机节点,然后单击“网站”文件夹。
每个网站的标识符都列在“标识符”列中。
打开命令提示符窗口并更改为以下目录:
%systemdrive%\Inetpub\adminscripts
为每个标识符键入以下命令:
cscript adsutil.vbs SET w3svc/<IDENTIFIER#>/Root/NTAuthenticationProviders "Negotiate,NTLM"
注意: 系统不会始终自动应用此设置。有关信息,请参阅 Microsoft 知识库中的 How to configure IIS to support both the Kerberos protocol and the NTLM protocol for network authentication(网址为 https://go.microsoft.com/fwlink/?LinkId=99929&clcid=0x409)。
重新启动 Internet Information Services (IIS)。
配置用户帐户
在域控制器上,打开“Active Directory 用户和计算机”,然后单击“用户”。
右键单击相应的应用程序池帐户,然后单击“属性”****。
在“帐户”选项卡上,务必选中“帐户可以委派其他帐户”。
对于将访问该系统的每个用户帐户,执行下列操作:
务必清除“敏感帐户,不能被委派”****复选框。
如果未在配置向导中设置该应用程序池标识,请将该帐户添加到 IIS_WPG 组。
配置客户端计算机
在 Internet Explorer 的“工具”菜单中,单击“Internet 选项”****。
在“高级”选项卡上,确保选中“启用集成 Windows 身份验证”****复选框。
关闭“Internet 选项”对话框。