配置规划服务器的基本 Kerberos 身份验证

最基本的委派配置是将默认的 Network Service 帐户用作 Microsoft Office PerformancePoint Server 2007 网站的应用程序池标识。PerformancePoint 规划不支持将此配置作为安装向导的一部分,但仍能够手动进行配置。由于已向 Network Service 帐户分配全部必需的权限和服务主体名称 (SPN),因此设置委派更为简单。使用 Network Service 确实存在安全风险,因此不建议用于生产部署。有关在生产环境中配置 Kerberos 委派的信息,请参阅使用域用户帐户配置规划服务器的 Kerberos 委派

为 Windows 2000 Server 功能域配置 Kerberos 委派

  1. 在域控制器上,打开“Active Directory 用户和计算机”。

  2. 单击“计算机”。

  3. ****在部署中的每个 PerformancePoint Server 网站和数据源服务器上单击右键,然后选择“属性”。验证是否已为每台计算机选中“信任计算机作为委派”复选框。

为 Windows Server 2003 功能域配置 Kerberos 委派

  1. 在域控制器上,打开“Active Directory 用户和计算机”。

  2. 单击“计算机”****。

  3. 在部署中的每个 PerformancePoint Server 网站和监控数据源服务器上单击右键,然后选择“属性”。在“委派”****选项卡中,选择“信任此计算机来委派任何服务(仅 Kerberos)”选项。

配置 PerformancePoint 规划 Web 服务

  1. 找到规划中规划管理控制台和前端网站的数字标识符。

    1. 依次单击“开始”****和“运行”,键入 INETMGR,然后按 Enter。

    2. 展开本地计算机节点。

    3. 单击“网站”文件夹。

      每个网站的标识符都列在“标识符”****列中。

  2. 打开命令提示符窗口并更改为以下目录。

    %systemdrive%\Inetpub\adminscripts

  3. 为每个标识符键入以下命令:

    cscript adsutil.vbs SET w3svc/IDENTIFIER#/Root/NTAuthenticationProviders "Negotiate,NTLM"

    注意注意:

    系统不会始终自动应用此设置。有关详细信息,请参阅 Microsoft 知识库中的How to configure IIS to support both the Kerberos protocol and the NTLM protocol for network authentication(网址为 http://go.microsoft.com/fwlink/?LinkId=99929&clcid=0x409)。

  4. 重新启动 Internet Information Services (IIS)。

配置客户端计算机

  1. 在 Internet Explorer 的“工具”菜单中,单击“Internet 选项”****。

  2. 在“高级”选项卡上,确保选中“启用集成 Windows 身份验证”****复选框。

  3. 关闭“Internet 选项”对话框。