Не получается настроить авторизацию с помощью Kerberos для доступа к SSAS через SQL при условии, что сервера OLAP и SQL на разных компьютерах.
Создали SPN для серверов, разрешили делегирование для пользователя домена, под которым запущены сервисы.
Проверили настройки с помощью программы «KERBEROS Configuration Manager» - все SPN работают.
Пытаемся выполнить OLAP запрос с локального компьютера через SQL
Запрос вида:
select * from OPENQUERY(olapmain, 'MDX запрос')

получаем ошибку:
«Поставщик OLE DB "MSOLAP" для связанного сервера "olapmain" вернул сообщение "Произошла ошибка на уровне транспорта.".
Поставщик OLE DB "MSOLAP" для связанного сервера "olapmain" вернул сообщение "Узел преждевременно завершил подключение.".
Сообщение 7303, уровень 16, состояние 1, строка 1
Не удалось проинициализировать объект источника данных поставщика OLE DB "MSOLAP" для связанного сервера "olapmain".»

Тот же запрос выполняемый из SSMS, запущенной на самом SQL сервере выдает корректный результат, т.е. делаем вывод,
что скорее всего что-то не так с настройками Kerberos и наша авторизация через него не работает.

Просмотрел много информации в интернете, прямо такого же случая не нашел, может кто-то реализовывал подобное?
Помогите найти, что еще нужно поменять/проверить в настройках, чтобы запрос можно было выполнять с локального компьютера.

RioMare KAB
Не удалось проинициализировать объект источника данных поставщика OLE DB "MSOLAP" для связанного сервера "olapmain".»
По-моему просто отсутствует OLEDB provider для OLAP'a на локальном компьютере.

По идее запрос же выполняется на сервере SQL и если его выполнять залогинившись на него все работает.

Создали SPN для серверов ...
как если не секрет ? По-идее пользователь, под которым запущены сервисы сам должен регистрировать SPN

Сгенерировали команды для создания SPN c помощью «KERBEROS Configuration Manager» и от имени администратора домена их выполнили.

RioMareKAB,
давайте по-порядку :

1. с локального компьютера что выдаёт команда setspn -L OLAP_Server_hostname и setspn -L OLAP_account
нечто похожее на MSOLAPSvc.Х\YYYY появляется ?

2. Я так понимаю, что запрос выполняется из SQL Mgmt Studio и хост olapmain определён как linked server ?
Что установлено в properties -> Security ? ( по идее должно быть be made using login's currect security content )
А если поменять принудительно на login/passwd для пользователя домена и попробовать с ним ?

Заработало. Спасибо за помощь.
Оказалось простая ошибка, не было разрешено делегирование для учетки под которой работает SQL для этого сервиса OLAP.
Настраивали сразу несколько серверов и пропустили ее.

Поменяли сервера и SQL и OLAP и вновь столкнулись с описанной в первом письме ошибкой.
Второй день пытаюсь решить проблему, все вроде настроено корректно, но не работает.
Если запрос запускаем в SSMS на сервере - работает, на локальном компьютере - нет.
Вариант подменять пользователя в связанном сервере не вариант, так как надо прокидывать много разных пользователей, каждого со своими правами.

Обращаюсь к коллективному разуму, может кто подскажет куда смотреть, в чем может быть проблема?

a_voronin,
Спасибо за ответ!


Тут немного другой случай - мне бы про настройку связанного сервера найти прямо подробно настройку.
Пока то что я сделал
1. прописал setspn -s "MSOLAPSvc.3/сервер" "домен\сервис_юзер"
2. Разрешил делегирование на SQL сервере для "MSOLAPSvc.3/сервер" "домен\сервис_юзер"
3. Разрешил делегирование на OLAP сервере для "MSSQLSvc/сервер SQL" "домен\сервис_юзер"

Не работает, хотя время от времени простреливает.
Вопросы которые открыты
1. надо ли делать setspn -s "MSOLAPSvc.3/сервер" "сервер"
2. какой из шагов 2 и 3 лишний

ссылки по теме
https://docs.microsoft.com/en-us/analysis-services/instances/configure-analysis-services-for-kerberos-constrained-delegation?view=asallproducts-allversions
https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/understanding-kerberos-double-hop/ba-p/395463

a_voronin,

SPN похоже все-таки настроены, но почему-то срабатывают в среднем 1 раз из 3-х.
В 2 случаях из 3-х ошибка:

Сообщение 7303, уровень 16, состояние 1, строка 3
Не удалось проинициализировать объект источника данных поставщика OLE DB "MSOLAP" для связанного сервера "XX-OLAP".

Я думаю может что-то не так с OLE DB или еще какой-то обвязкой SQL.

Все удалось настроить по инструкциям.
Мало где это написано, но нужно настраивать кроме SPN еще давая разрешение делегирования в AD на каждом сервере.
Из того, что может быть полезно другим - проверяли в том числе доступ из jupiter на линукс через связанный сервер SQL - оказалось чтобы нормально работало надо авторизоваться в домене через kinit с ключом -f.