1) Клиент
2) MSSQL Server & Reporting Services
3) Analysis Services

Данные для отчета находятся в OLAP кубах. Отчет работает с компа №2, а с №1 и №3 не хочет, говорит что я иду под пользователем NT Authority\Анонимный вход.
Налицо проблема двух хопов и кербероса.
Настроил SPN у учетки SQL Server'a, она же у пула приложений в IIS, она же учетка SSAS.
SPN этой учетки имеют следующий вид:
HTTP/servername
HTTP/servername.domain.local
MSSQLSvc/servername
MSSQLSvc/servername.domain.local
MSOLAPSvc.3/servername2
MSOLAPSvc.3/servername2.domain.local

У обоих серверов стоит галка "trusted for delegation".
У учетки тоже.

На компе №1 тоже стоит IIS, тоже есть все галки, только учетка пула другая.
И с него работает приложение, которое лазит в SSAS. То есть если идти, например, с 4го какого-нибудь компа на №1, то он без проблем заберет данные из SSAS.

Есть предположение, что я на чем-то зациклился и не вижу очевидного...

Есть идеи? :))

Модератор: Тема перенесена из форума "Microsoft SQL Server".

есть кто живой?

Че-то форматирование все пропало... еще раз

Есть 3 машины:
1) Клиент
2) MSSQL Server & Reporting Services
3) Analysis Services Данные для отчета находятся в OLAP кубах.

Отчет работает с компа №2, а с №1 и №3 не хочет, говорит что я иду под пользователем NT Authority\Анонимный вход.
Налицо проблема двух хопов и кербероса.
Настроил SPN у учетки SQL Server'a, она же у пула приложений в IIS, она же учетка SSAS.

SPN этой учетки имеют следующий вид:
HTTP/servername
HTTP/servername.domain.local
MSSQLSvc/servername
MSSQLSvc/servername.domain.local
MSOLAPSvc.3/servername2
MSOLAPSvc.3/servername2.domain.local
У обоих серверов стоит галка "trusted for delegation". У учетки тоже.

На компе №1 тоже стоит IIS, тоже есть все галки, только учетка пула другая. И с него работает приложение, которое лазит в SSAS. То есть если идти, например, с 4го какого-нибудь компа на №1, то он без проблем заберет данные из SSAS.
Есть предположение, что я на чем-то зациклился и не вижу очевидного...
Есть идеи? :))

Если кому-то интересно в этом неживом разделе...
Нашел причину.
Команда cscript adsutil.vbs get w3svc/WebSite/root/NTAuthenticationProviders вернула "NTLM"
Хотя я уверен, что задавал Negotiate,NTLM.
Наверное это из-за WSS3.0, который стоит в том же веб-узле. Хотя пулы у них разные..
Да и ни в одном HowTo про Керберос и SQL Server не видел ничего про NTAuthenticationProviders.. это уже сам попробовал после долгих неудач.

`еа это про Rs - там всё описано. Точно для 2008 но думаю что и для 2005 также.

где? не нашел :(

mishgan1А если все сервисы запускаются под разными логинами - можно ли настроить Kerberos. Т.е как в этом случае SetSPN настроить ? На каждом сервере для каждой службы ? И где надо настраивать Negotiate,NTLM?

Можно. SPN настраиваются для учетной записи, т.е. в домене. А Negotiate,NTLM для веб-узла.