Huomautus
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Lue, miten voit määrittää raporttipalvelimen Kerberos-todennukselle tietolähteisiin, joita käytetään hajautetun ympäristön Power BI -raporteissa.
Power BI -raporttipalvelin sisältää mahdollisuuden isännöidä Power BI -raportteja. Raporttipalvelin tukee monia tietolähteitä. Vaikka tässä artikkelissa keskitytään erityisesti SQL Server Analysis Servicesiin, voit käyttää näitä käsitteitä ja soveltaa niitä muihin tietolähteisiin, kuten SQL Serveriin.
Voit asentaa Power BI -raporttipalvelimen, SQL Serverin ja Analysis Servicesin yhteen tietokoneeseen, ja kaiken pitäisi toimia ilman muita määrityksiä. Tämä on kätevää testiympäristössä. Saatat saada virheilmoitukset, jos nämä palvelut on asennettu erillisiin koneisiin, joita kutsutaan hajautetuksi ympäristöksi. Tässä ympäristössä sinun on käytettävä Kerberos-todennusta. Sen toteuttaminen edellyttää määritystä.
Erityisesti sinun on määritettävä rajoitettu delegointi. Kerberos voi olla määritetty ympäristössäsi, mutta sitä ei ehkä ole määritetty rajoitettua delegointia varten.
Virhe raporttia suoritettaessa
Jos raporttipalvelinta ei ole määritetty oikein, saatat saada seuraavan virheilmoituksen.
Something went wrong.
We couldn't run the report because we couldn't connect to its data source. The report or data source might not be configured correctly.
Näet seuraavan viestin Teknisissä tiedoissa.
We couldn't connect to the Analysis Services server. The server forcibly closed the connection. To connect as the user viewing the report, your organization must have configured Kerberos constrained delegation.
Rajoitetun Kerberos-delegoinnin määrittäminen
Sinun on määritettävä useita kohteita, jotta Kerberoksen rajoitettu delegointi toimii. Tämä sisältää palvelun päänimet (SPN) ja delegointiasetukset palvelutileissä.
Muistiinpano
Jotta voit määrittää palvelun päänimen ja delegoinnin asetukset, sinun on oltava toimialueen järjestelmänvalvoja.
Seuraavat on määritettävä tai vahvistettava:
- Todennustyyppi raporttipalvelimen määrityksessä.
- Palvelun päänimeä raporttipalvelimen palvelutiliä varten.
- Palvelun päänimet Analysis Services -palvelua varten.
- PALVELUN PÄÄNUKSET SQL Browser -palvelua varten Analysis Services -tietokoneessa. Tämä koskee vain nimettyjä esiintymiä.
- Delegointiasetukset raporttipalvelimen palvelutilissä.
Todennustyyppi raporttipalvelimen määrityksissä
Raporttipalvelimen todennustyyppi on määritettävä sallimaan Kerberoksen rajoitettu delegointi. Tämä tehdään rsreportserver.config-tiedostossa . Tämän tiedoston oletussijainti on C:\Program Files\Microsoft Power BI Report Server\PBIRS\ReportServer
.
Haluat löytää tiedostosta rsreportserver.config
Authentication/AuthenticationTypes-osan .
Haluamme varmistaa, että RSWindowsNegotiate on listattu ja että se on ensimmäisenä todennustyyppien luettelossa. Sen pitäisi näyttää seuraavankaltaiselta.
<AuthenticationTypes>
<RSWindowsNegotiate/>
<RSWindowsNTLM/>
</AuthenticationTypes>
Jos sinun piti muuttaa määritystiedostoa, haluat pysäyttää ja käynnistää raporttipalvelimen varmistaaksesi, että muutokset tulevat voimaan.
Lisätietoja on artikkelissa Windows-todennuksen määrittäminen raporttipalvelimessa.
Palvelun päänimeä raporttipalvelimen palvelutiliä varten
Seuraavaksi on varmistettava, että raporttipalvelimessa on käytettävissä kelvolliset palvelun päänimet. Tämä perustuu palvelutiliin, joka on määritetty raporttipalvelimelle.
Virtuaalinen palvelutili tai verkkopalvelu
Jos raporttipalvelin on määritetty virtuaalista palvelutiliä tai verkkopalvelutiliä varten, sinun ei pitäisi joutua tekemään mitään. Nämä tiedot koskevat konetiliä. Konetilissä on oletusarvoisesti isäntäkoneen palvelun päänimet. Ne kattavat HTTP-palvelun, ja raporttipalvelin käyttää niitä.
Jos käytät näennäispalvelimen nimeä, ISÄNTÄ-merkinnät eivät kata sinua, ja sinun on lisättävä palvelun päänimet manuaalisesti näennäispalvelimen isäntänimeä varten.
Toimialueen käyttäjätili
Jos raporttipalvelin on määritetty käyttämään toimialueen käyttäjätiliä, sinun on luotava manuaalisesti kyseisen tilin HTTP-palvelun päänimet. Tämä voidaan tehdä Windowsin mukana tulevalla setspn-työkalulla.
Muistiinpano
Palvelun päänimen luomiseen tarvitaan toimialueen järjestelmänvalvojan oikeudet.
On suositeltavaa luoda kaksi palvelun päänimeä. Toisessa on NetBIOS-nimi ja toisessa täydellinen toimialuenimi (FQDN). Palvelun päänimi on seuraavassa muodossa.
<Service>/<Host>:<port>
Power BI -raporttipalvelin käyttää HTTP-palvelua. HTTP-palvelun päänimissä ei luetella porttia. Tässä on HTTP-palvelu, jota haluamme. Palvelun päänimen isäntä on nimi, jota käytät URL-osoitteessa. Yleensä tämä on tietokoneen nimi. Jos olet kuormituksentasaimen takana, tämä voi olla virtuaalinen nimi.
Muistiinpano
Voit tarkistaa URL-osoitteen joko selaimen osoiteriviltä tai raporttipalvelimen määritystenhallinnasta Verkkoportaalin URL-osoite-välilehdeltä.
Jos tietokoneen nimi on ContosoRS, palvelun päänimesi ovat seuraavat.
Palvelun päänimen tyyppi | Palvelun päänimi |
---|---|
Täydellinen toimialuenimi (FQDN) | HTTP/ContosoRS.contoso.com |
Netbios | HTTP/ContosoRS |
Palvelun päänimen sijainti
Mihin siis sijoitat palvelun päänimen? Palvelun päänimi sijoitetaan sen mukaan, mitä käytät palvelutiliä varten. Jos käytössäsi on virtuaalinen palvelutili tai verkkopalvelu, tämä on tietokonetili. Kuten aiemmin kerroimme, tämä on tehtävä vain virtuaalista URL-osoitetta varten. Jos käytät toimialueen käyttäjää raporttipalvelimen palvelutiliä varten, sijoita palvelun päänimi kyseisen toimialueen käyttäjätiliin.
Jos käytössä on esimerkiksi verkkopalvelutili ja tietokoneen nimi on ContosoRS, palvelun päänimen sijainti on ContosoRS.
Jos käytössä on RSServicen toimialueen käyttäjätili, palvelun päänimen sijainti on RSService.
Palvelun päänimen lisääminen SetSPN-toiminnon avulla
Voit lisätä palvelun päänimen SetSPN-työkalun avulla. Käytämme samaa esimerkkiä kuin edellä tietokonetilin ja toimialueen käyttäjätilin kanssa.
Palvelun päänimi sijoitetaan tietokonetilille (sekä FQDN:ssä että NetBIOSissa) seuraavasti, jos käytössä on virtuaalinen URL-osoite contosoreports.
Setspn -a HTTP/contosoreports.contoso.com ContosoRS
Setspn -a HTTP/contosoreports ContosoRS
Palvelun päänimi sijoitetaan toimialueen käyttäjätilille (sekä FQDN:ssä että NetBIOSissa) seuraavasti, jos käytössä on tietokoneen nimi palvelun päänimen isäntää varten.
Setspn -S HTTP/ContosoRS.contoso.com RSService
Setspn -S HTTP/ContosoRS RSService
Palvelun päänimeä Analysis Services -palvelua varten
Analysis Services -palvelun päänukset ovat vastaavat kuin aiemmin Power BI -raporttipalvelimen kanssa. Palvelun päänimen muoto on hieman erilainen, jos sinulla on nimetty esiintymä.
Analysis Servicesiä varten käytämme MSOLAPSvc.3-palvelua. Määritämme esiintymän nimen portin sijainnille palvelun päänimessä. Palvelun päänimen isäntäosa on joko tietokoneen nimi tai klusterin virtuaalinen nimi.
Analysis Servicesin palvelun päänimi voi näyttää esimerkiksi seuraavalta.
Tyyppi | Muoto |
---|---|
Oletusesiintymä | MSOLAPSvc.3/ContosoAS.contoso.com MSOLAPSvc.3/ContosoAS |
Nimetty esiintymä | MSOLAPSvc.3/ContosoAS.contoso.com:INSTANCENAME MSOLAPSvc.3/ContosoAS:INSTANCENAME |
Myös palvelun päänimen sijoitus on vastaava kuin edellä mainitun Power BI -raporttipalvelimen kanssa. Se perustuu palvelutiliin. Jos käytössäsi on paikallinen järjestelmä tai verkkopalvelu, olet tietokonetilin kontekstissa. Jos käytät toimialueen käyttäjätiliä Analysis Services -esiintymää varten, sijoita palvelun päänimi toimialueen käyttäjätiliin.
Palvelun päänimen lisääminen SetSPN-toiminnon avulla
Voit lisätä palvelun päänimen SetSPN-työkalun avulla. Tässä esimerkissä tietokoneen nimi on ContosoAS.
Palvelun päänimi sijoitetaan tietokonetilille (sekä FQDN:ssä että NetBIOSissa) seuraavasti.
Setspn -S MSOLAPSvc.3/ContosoAS.contoso.com ContosoAS
Setspn -S MSOLAPSvc.3/ContosoAS ContosoAS
Palvelun päänimi sijoitetaan toimialueen käyttäjätilille (sekä FQDN:ssä että NetBIOSissa) seuraavasti.
Setspn -S MSOLAPSvc.3/ContosoAS.contoso.com OLAPService
Setspn -S MSOLAPSvc.3/ContosoAS OLAPService
SQL Browser -palvelun päänimet
Jos käytössä on Analysis Servicesin nimetty esiintymä, sinun on myös varmistettava, että sinulla on palvelun päänimi selainpalvelua varten. Tämä on yksilöllinen Analysis Servicesiä varten.
SQL Browser -palvelun päänimet ovat vastaavat kuin aiemmin Power BI -raporttipalvelimen kanssa.
SQL Browseria varten käytämme MSOLAPDisco.3-palvelua. Määritämme esiintymän nimen portin sijainnille palvelun päänimessä. Palvelun päänimen isäntäosa on joko tietokoneen nimi tai klusterin virtuaalinen nimi. Sinun ei tarvitse määrittää mitään esiintymän nimeä tai porttia.
Analysis Servicesin palvelun päänimi voi näyttää esimerkiksi seuraavalta.
MSOLAPDisco.3/ContosoAS.contoso.com
MSOLAPDisco.3/ContosoAS
Myös palvelun päänimen sijoitus on vastaava kuin edellä mainitun Power BI -raporttipalvelimen kanssa. Erona on, että SQL Browser suoritetaan aina paikallisen järjestelmätilin alaisuudessa. Tämä tarkoittaa sitä, että palvelun päänukset kulkevat aina tietokonetiliin.
Palvelun päänimen lisääminen SetSPN-toiminnon avulla
Voit lisätä palvelun päänimen SetSPN-työkalun avulla. Tässä esimerkissä tietokoneen nimi on ContosoAS.
Palvelun päänimi sijoitetaan tietokonetilille (sekä FQDN:ssä että NetBIOSissa) seuraavasti.
Setspn -S MSOLAPDisco.3/ContosoAS.contoso.com ContosoAS
Setspn -S MSOLAPDisco.3/ContosoAS ContosoAS
Lisätietoja on artikkelissa SQL Server Browser -palvelun päänimi vaaditaan.
Delegointiasetukset raporttipalvelimen palvelutilissä
Viimeinen määritettävä osa on raporttipalvelimen palvelutilin delegointiasetukset. Voit suorittaa nämä vaiheet eri työkaluilla. Tässä asiakirjassa käytämme Active Directory Users and Computers -tietokoneita.
Sinun on aloitettava siirtymällä raporttipalvelimen palvelutilin ominaisuuksiin Active Directory Users and Computers -palvelimessa. Tämä on tietokonetili, jos käytössä on virtuaalinen palvelutili tai verkkopalvelu tai toimialueen käyttäjätili.
Rajoitettu delegointi on määritettävä protokollan siirtämisellä. Rajoitetussa delegoinnissa on määritettävä yksityiskohtaisesti, mihin palveluihin haluat delegoida. Lisäämme sekä Analysis Servicesin palvelun päänimen että SQL Browserin palvelun päänimen luetteloon, johon Power BI -raporttipalvelin voi delegoida.
Valitse raporttipalvelimen palvelutili hiiren kakkospainikkeella ja valitse Ominaisuudet.
Valitse Delegointi-välilehti.
Valitse Luota tähän tietokoneeseen vain määritettyihin palveluihin delegointia varten.
Valitse Käytä mitä tahansa todennusprotokollaa.
Valitse Palvelut, joille tämä tili voi esittää delegoidut tunnistetiedot: -kohdassa Lisää.
Valitse uudessa valintaikkunassa Käyttäjät tai tietokoneet.
Anna Analysis Services -palvelun palvelutili ja valitse OK.
Valitse palvelun päänimi, jonka loit. Se alkaa merkkijonolla
MSOLAPSvc.3
. Jos olet lisännyt sekä FQDN:n että NetBIOSin SPN:n, molemmat valitaan. Saatat nähdä niistä vain toisen.Valitse OK. Palvelun päänimen pitäisi näkyä nyt luettelossa.
Voit myös valita Laajennettu , jolloin sekä FQDN:n että NetBIOSin palvelun päänimi näkyvät luettelossa.
Valitse Lisää uudelleen. Nyt lisäämme SQL Browserin palvelun päänimen.
Valitse uudessa valintaikkunassa Käyttäjät tai tietokoneet.
Anna tietokoneen nimi koneelle, jossa SQL Browser -palvelu on käytössä, ja valitse Ok.
Valitse palvelun päänimi, jonka loit. Se alkaa merkkijonolla
MSOLAPDisco.3
. Jos olet lisännyt sekä FQDN:n että NetBIOSin SPN:n, molemmat valitaan. Saatat nähdä niistä vain toisen.Valitse Ok. Valintaikkunan pitäisi näyttää samalta kuin alla, jos valitsit Laajennettu.
Valitse Ok.
Käynnistä Power BI -raporttipalvelin uudelleen.
Power BI -raportin suorittaminen
Kun kaikki edellä mainitut määritykset on tehty, raportin pitäisi näkyä oikein.
Vaikka tämän määrityksen pitäisi toimia useimmissa tapauksissa, Kerberosta käytettäessä voi olla erilaisia määrityksiä ympäristön mukaan. Jos raportti ei vieläkään lataudu, ota yhteyttä toimialueen järjestelmänvalvojaan tai tukeen.