Kerberoksen määrittäminen Power BI -raporttien käyttöön
Lue, miten voit määrittää raporttipalvelimen Kerberos-todennukselle tietolähteisiin, joita käytetään hajautetun ympäristön Power BI -raporteissa.
Power BI aruandeserver sisältää mahdollisuuden isännöidä Power BI -raportteja. Raporttipalvelin tukee monia tietolähteitä. Vaikka tässä artikkelissa keskitytään erityisesti SQL Serveri analüüsiteenused, voit käyttää käsitteitä ja soveltaa niitä muihin tietolähteisiin, kuten SQL Serveriin.
Voit asentaa Power BI aruandeserver, SQL Serverin ja Analysis Servicesin yhteen tietokoneeseen, ja kaiken pitäisi toimia ilman muita määrityksiä. Tämä on kätevää testiympäristössä. Saatat saada virheitä, jos nämä palvelut on asennettu erillisiin koneisiin, joita kutsutaan hajautetuksi ympäristöksi. Tässä ympäristössä sinun on käytettävä Kerberos-todennusta. Sen toteuttaminen edellyttää määritystä.
Erityisesti sinun on määritettävä rajoitettu delegointi. Kerberos voi olla määritetty ympäristössäsi, mutta sitä ei ehkä ole määritetty rajoitettua delegointia varten.
Virhe raporttia suoritettaessa
Jos raporttipalvelinta ei ole määritetty oikein, saatat saada seuraavan virheilmoituksen.
Something went wrong.
We couldn't run the report because we couldn't connect to its data source. The report or data source might not be configured correctly.
Näet seuraavan viestin Teknisissä tiedoissa.
We couldn't connect to the Analysis Services server. The server forcibly closed the connection. To connect as the user viewing the report, your organization must have configured Kerberos constrained delegation.
Rajoitetun Kerberos-delegoinnin määrittäminen
Sinun on määritettävä useita kohteita, jotta Kerberoksen rajoitettu delegointi toimii. Tämä sisältää palvelun päänimet (SPN) ja delegointiasetukset palvelutileissä.
Muistiinpano
Jotta voit määrittää palvelun päänimen ja delegoinnin asetukset, sinun on oltava toimialueen järjestelmänvalvoja.
Seuraavat on määritettävä tai vahvistettava.
- Todennustyyppi raporttipalvelimen määrityksessä.
- Palvelun päänimeä raporttipalvelimen palvelutiliä varten.
- Palvelun päänimet Analysis Services -palvelua varten.
- PALVELUN PÄÄNUKSET SQL Browser -palvelua varten Analysis Services -tietokoneessa. Tämä koskee vain nimettyjä esiintymiä.
- Delegointiasetukset raporttipalvelimen palvelutilissä.
Todennustyyppi raporttipalvelimen määrityksissä
Raporttipalvelimen todennustyyppi on määritettävä sallimaan Kerberoksen rajoitettu delegointi. Tämä tehdään rsreportserver.config-tiedostossa . Tämän tiedoston oletussijainti on C:\Program Files\Microsoft Power BI Report Server\PBIRS\ReportServer.
Sinun kannattaa käyttää rsreportserver.config-tiedostossa Authentication/AuthenticationTypes-osiota .
Haluamme varmistaa, että RSWindowsNegotiate on listattu ja että se on ensimmäisenä todennustyyppien luettelossa. Sen pitäisi näyttää seuraavankaltaiselta.
<AuthenticationTypes>
<RSWindowsNegotiate/>
<RSWindowsNTLM/>
</AuthenticationTypes>
Jos sinun oli muutettava määritystiedostoa, sinun kannattaa pysäyttää ja käynnistää raporttipalvelin varmistaaksesi, että muutokset tulevat voimaan.
Lisätietoja on artikkelissa Windows-todennuksen määrittäminen raporttipalvelimessa.
Palvelun päänimeä raporttipalvelimen palvelutiliä varten
Seuraavaksi on varmistettava, että raporttipalvelimessa on käytettävissä kelvolliset palvelun päänimet. Tämä perustuu palvelutiliin, joka on määritetty raporttipalvelimelle.
Virtuaalinen palvelutili tai verkkopalvelu
Jos raporttipalvelin on määritetty virtuaalista palvelutiliä tai verkkopalvelutiliä varten, sinun ei tarvitse tehdä mitään. Nämä tiedot koskevat konetiliä. Konetilissä on oletusarvoisesti isäntäkoneen palvelun päänimeä. Ne kattavat HTTP-palvelun, ja raporttipalvelin käyttää niitä.
Jos käytät näennäispalvelimen nimeä, joka ei ole sama kuin konetilissä, isäntäsännät eivät koske sinua. Lisäksi sinun on lisättävä palvelun päänimet manuaalisesti näennäispalvelimen isäntänimeä varten.
Toimialueen käyttäjätili
Jos raporttipalvelin on määritetty käyttämään toimialueen käyttäjätiliä, sinun on luotava manuaalisesti kyseisen tilin HTTP-palvelun päänimet. Tämä voidaan tehdä Windowsin mukana tulevalla setspn-työkalulla.
Muistiinpano
Palvelun päänimen luomiseen tarvitaan toimialueen järjestelmänvalvojan oikeudet.
On suositeltavaa luoda kaksi palvelun päänimeä. Toisessa on NetBIOS-nimi ja toisessa täydellinen toimialuenimi (FQDN). Palvelun päänimi on seuraavassa muodossa.
<Service>/<Host>:<port>
Power BI aruandeserver käyttää HTTP-palvelua. HTTP-palvelun päänimissä ei luetella porttia. Tässä meitä kiinnostaa HTTP-palvelu. Palvelun päänimen isäntä on nimi, jota käytät URL-osoitteessa. Yleensä tämä on tietokoneen nimi. Jos olet kuormituksentasaimen takana, tämä voi olla virtuaalinen nimi.
Muistiinpano
Voit tarkistaa URL-osoitteen joko selaimen osoiteriviltä tai raporttipalvelimen määritystenhallinnasta Verkkoportaalin URL-osoite-välilehdeltä.
Jos tietokoneen nimi on ContosoRS, palvelun päänimesi ovat seuraavat.
| Palvelun päänimen tyyppi | Palvelun päänimi |
|---|---|
| Täydellinen toimialuenimi (FQDN) | HTTP/ContosoRS.contoso.com |
| Netbios | HTTP/ContosoRS |
Palvelun päänimen sijainti
Mihin siis sijoitat palvelun päänimen? Palvelun päänimi sijoitetaan sen mukaan, mitä käytät palvelutiliä varten. Jos käytössäsi on virtuaalinen palvelutili tai verkkopalvelu, tämä on tietokonetili. Kuten aiemmin kerroimme, tämä on tehtävä vain virtuaalista URL-osoitetta varten. Jos käytössäsi on toimialueen käyttäjä raporttipalvelimen palvelutiliä varten, sinun on sijoita palvelun päänimi kyseisen toimialueen käyttäjätiliin.
Jos käytössä on esimerkiksi verkkopalvelutili ja tietokoneen nimi on ContosoRS, palvelun päänimen sijainti on ContosoRS.
Jos käytössä on RSServicen toimialueen käyttäjätili, palvelun päänimen sijainti on RSService.
Palvelun päänimen lisääminen SetSPN-toiminnon avulla
Voit lisätä palvelun päänimen SetSPN-työkalun avulla. Käytämme samaa esimerkkiä kuin edellä tietokonetilin ja toimialueen käyttäjätilin kanssa.
Palvelun päänimi sijoitetaan tietokonetilille (sekä FQDN:ssä että NetBIOSissa) seuraavasti, jos käytössä on virtuaalinen URL-osoite contosoreports.
Setspn -a HTTP/contosoreports.contoso.com ContosoRS
Setspn -a HTTP/contosoreports ContosoRS
Palvelun päänimi sijoitetaan toimialueen käyttäjätilille (sekä FQDN:ssä että NetBIOSissa) seuraavasti, jos käytössä on tietokoneen nimi palvelun päänimen isäntää varten.
Setspn -S HTTP/ContosoRS.contoso.com RSService
Setspn -S HTTP/ContosoRS RSService
Palvelun päänimeä Analysis Services -palvelua varten
Analysis Services -palvelun päänimet ovat vastaavat kuin aiemmin Power BI aruandeserver. Palvelun päänimen muoto on hieman erilainen, jos sinulla on nimetty esiintymä.
Analysis Servicesiä varten käytämme MSOLAPSvc.3-palvelua. Määritämme esiintymän nimen portin sijainnille palvelun päänimessä. Palvelun päänimen isäntäosa on joko tietokoneen nimi tai klusterin virtuaalinen nimi.
Analysis Servicesin palvelun päänimi voi näyttää esimerkiksi seuraavalta.
| Tyyppi | Muoto |
|---|---|
| Oletusesiintymä | MSOLAPSvc.3/ContosoAS.contoso.com MSOLAPSvc.3/ContosoAS |
| Nimetty esiintymä | MSOLAPSvc.3/ContosoAS.contoso.com:INSTANCENAME MSOLAPSvc.3/ContosoAS:INSTANCENAME |
Myös palvelun päänimen sijoitus on vastaava kuin edellä Power BI aruandeserver mainittiin. Se perustuu palvelutiliin. Jos käytössäsi on paikallinen järjestelmä tai verkkopalvelu, olet tietokonetilin kontekstissa. Jos käytössäsi on toimialueen käyttäjätili Analysis Services -esiintymää varten, sinun on sijoita palvelun päänimi toimialueen käyttäjätiliin.
Palvelun päänimen lisääminen SetSPN-toiminnon avulla
Voit lisätä palvelun päänimen SetSPN-työkalun avulla. Tässä esimerkissä tietokoneen nimi on ContosoAS.
Palvelun päänimi sijoitetaan tietokonetilille (sekä FQDN:ssä että NetBIOSissa) seuraavasti.
Setspn -S MSOLAPSvc.3/ContosoAS.contoso.com ContosoAS
Setspn -S MSOLAPSvc.3/ContosoAS ContosoAS
Palvelun päänimi sijoitetaan toimialueen käyttäjätilille (sekä FQDN:ssä että NetBIOSissa) seuraavasti.
Setspn -S MSOLAPSvc.3/ContosoAS.contoso.com OLAPService
Setspn -S MSOLAPSvc.3/ContosoAS OLAPService
SQL Browser -palvelun päänimet
Jos käytössä on Analysis Servicesin nimetty esiintymä, sinun on myös varmistettava, että sinulla on palvelun päänimi selainpalvelua varten. Tämä on yksilöllinen Analysis Servicesiä varten.
SQL Browser -palvelun päänimet ovat vastaavat kuin aiemmin Power BI aruandeserver.
SQL Browseria varten käytämme MSOLAPDisco.3-palvelua. Määritämme esiintymän nimen portin sijainnille palvelun päänimessä. Palvelun päänimen isäntäosa on joko tietokoneen nimi tai klusterin virtuaalinen nimi. Sinun ei tarvitse määrittää mitään esiintymän nimeä tai porttia.
Analysis Servicesin palvelun päänimi voi näyttää esimerkiksi seuraavalta.
MSOLAPDisco.3/ContosoAS.contoso.com
MSOLAPDisco.3/ContosoAS
Myös palvelun päänimen sijoitus on vastaava kuin edellä Power BI aruandeserver mainittiin. Erona on, että SQL Browser suoritetaan aina paikallisen järjestelmätilin alla. Tämä tarkoittaa sitä, että palvelun päänukset kulkevat aina tietokonetiliin.
Palvelun päänimen lisääminen SetSPN-toiminnon avulla
Voit lisätä palvelun päänimen SetSPN-työkalun avulla. Tässä esimerkissä tietokoneen nimi on ContosoAS.
Palvelun päänimi sijoitetaan tietokonetilille (sekä FQDN:ssä että NetBIOSissa) seuraavasti.
Setspn -S MSOLAPDisco.3/ContosoAS.contoso.com ContosoAS
Setspn -S MSOLAPDisco.3/ContosoAS ContosoAS
Lisätietoja on artikkelissa SQL Server Browser -palvelun päänimi vaaditaan.
Delegointiasetukset raporttipalvelimen palvelutilissä
Viimeinen määritettävä osa on raporttipalvelimen palvelutilin delegointiasetukset. Voit suorittaa nämä vaiheet eri työkaluilla. Tässä asiakirjassa käytämme Active Directory Users and Computers -tietokoneita.
Sinun on aloitettava siirtymällä raporttipalvelimen palvelutilin ominaisuuksiin Active Directory Users and Computers -tietokoneissa. Tämä on tietokonetili, jos käytössäsi on virtuaalinen palvelutili tai verkkopalvelu, tai jos kyseessä on toimialueen käyttäjätili.
Rajoitettu delegointi on määritettävä protokollan siirtämisellä. Rajoitetussa delegoinnissa on määritettävä yksityiskohtaisesti, mihin palveluihin haluat delegoida. Lisää sekä Analysis Servicesin palvelun päänimi että SQL Browserin palvelun päänimi luetteloon, johon Power BI aruandeserver voi delegoida.
Napsauta raporttipalvelimen palvelutiliä hiiren kakkospainikkeella ja valitse Ominaisuudet.
Valitse Delegointi-välilehti.
Valitse Luota tähän tietokoneeseen vain määritettyihin palveluihin delegointia varten.
Valitse Käytä mitä tahansa todennusprotokollaa.
Valitse Palvelut, joille tämä tili voi esittää delegoidut tunnistetiedot: -kohdassa Lisää.
Valitse uudessa valintaikkunassa Käyttäjät tai tietokoneet.
Anna Analysis Services -palvelun palvelutili ja valitse OK.
Valitse palvelun päänimi, jonka loit. Sen alussa on
MSOLAPSvc.3. Jos olet lisännyt sekä FQDN:n että NetBIOSin SPN:n, molemmat valitaan. Saatat nähdä niistä vain toisen.Valitse OK. Palvelun päänimen pitäisi näkyä nyt luettelossa.
Voit myös valita Laajennettu , jolloin sekä FQDN:n että NetBIOSin palvelun päänimi näkyvät luettelossa.
Valitse Lisää uudelleen. Nyt lisäämme SQL Browserin palvelun päänimen.
Valitse uudessa valintaikkunassa Käyttäjät tai tietokoneet.
Anna tietokoneen nimi koneelle, jossa SQL Browser -palvelu on käytössä, ja valitse Ok.
Valitse palvelun päänimi, jonka loit. Sen alussa on
MSOLAPDisco.3. Jos olet lisännyt sekä FQDN:n että NetBIOSin SPN:n, molemmat valitaan. Saatat nähdä niistä vain toisen.Valitse Ok. Valintaikkunan pitäisi näyttää samalta kuin alla, jos valitsit Laajennettu.
Valitse Ok.
Käynnistä Power BI aruandeserver uudelleen.
Power BI -raportin suorittaminen
Kun kaikki edellä mainitut määritykset on tehty, raportin pitäisi näkyä oikein.
Vaikka tämän määrityksen pitäisi toimia useimmissa tapauksissa, Kerberosta käytettäessä voi olla erilaisia määrityksiä ympäristön mukaan. Jos raportti ei vieläkään lataudu, voit ottaa yhteyttä toimialueen järjestelmänvalvojaan tai tukeen.
Liittyvä sisältö
Onko sinulla lisää kysymyksiä? Voit esittää kysymyksiä Power BI -yhteisössä