Jaa


Kerberoksen määrittäminen Power BI -raporttien käyttöön

Lue, miten voit määrittää raporttipalvelimen Kerberos-todennukselle tietolähteisiin, joita käytetään hajautetun ympäristön Power BI -raporteissa.

Power BI -raporttipalvelin sisältää mahdollisuuden isännöidä Power BI -raportteja. Raporttipalvelin tukee monia tietolähteitä. Vaikka tässä artikkelissa keskitytään erityisesti SQL Server Analysis Servicesiin, voit käyttää näitä käsitteitä ja soveltaa niitä muihin tietolähteisiin, kuten SQL Serveriin.

Voit asentaa Power BI -raporttipalvelimen, SQL Serverin ja Analysis Servicesin yhteen tietokoneeseen, ja kaiken pitäisi toimia ilman muita määrityksiä. Tämä on kätevää testiympäristössä. Saatat saada virheilmoitukset, jos nämä palvelut on asennettu erillisiin koneisiin, joita kutsutaan hajautetuksi ympäristöksi. Tässä ympäristössä sinun on käytettävä Kerberos-todennusta. Sen toteuttaminen edellyttää määritystä.

Erityisesti sinun on määritettävä rajoitettu delegointi. Kerberos voi olla määritetty ympäristössäsi, mutta sitä ei ehkä ole määritetty rajoitettua delegointia varten.

Virhe raporttia suoritettaessa

Jos raporttipalvelinta ei ole määritetty oikein, saatat saada seuraavan virheilmoituksen.

Something went wrong.

We couldn't run the report because we couldn't connect to its data source. The report or data source might not be configured correctly.

Näet seuraavan viestin Teknisissä tiedoissa.

We couldn't connect to the Analysis Services server. The server forcibly closed the connection. To connect as the user viewing the report, your organization must have configured Kerberos constrained delegation.

Näyttökuva Power BI -raporteista, joka näyttää Analysis Services -palvelimeen liittyviä yhteysongelmia koskevan virhesanoman.

Rajoitetun Kerberos-delegoinnin määrittäminen

Sinun on määritettävä useita kohteita, jotta Kerberoksen rajoitettu delegointi toimii. Tämä sisältää palvelun päänimet (SPN) ja delegointiasetukset palvelutileissä.

Muistiinpano

Jotta voit määrittää palvelun päänimen ja delegoinnin asetukset, sinun on oltava toimialueen järjestelmänvalvoja.

Seuraavat on määritettävä tai vahvistettava:

  1. Todennustyyppi raporttipalvelimen määrityksessä.
  2. Palvelun päänimeä raporttipalvelimen palvelutiliä varten.
  3. Palvelun päänimet Analysis Services -palvelua varten.
  4. PALVELUN PÄÄNUKSET SQL Browser -palvelua varten Analysis Services -tietokoneessa. Tämä koskee vain nimettyjä esiintymiä.
  5. Delegointiasetukset raporttipalvelimen palvelutilissä.

Todennustyyppi raporttipalvelimen määrityksissä

Raporttipalvelimen todennustyyppi on määritettävä sallimaan Kerberoksen rajoitettu delegointi. Tämä tehdään rsreportserver.config-tiedostossa . Tämän tiedoston oletussijainti on C:\Program Files\Microsoft Power BI Report Server\PBIRS\ReportServer.

Haluat löytää tiedostosta rsreportserver.configAuthentication/AuthenticationTypes-osan .

Haluamme varmistaa, että RSWindowsNegotiate on listattu ja että se on ensimmäisenä todennustyyppien luettelossa. Sen pitäisi näyttää seuraavankaltaiselta.

<AuthenticationTypes>
    <RSWindowsNegotiate/>
    <RSWindowsNTLM/>
</AuthenticationTypes>

Jos sinun piti muuttaa määritystiedostoa, haluat pysäyttää ja käynnistää raporttipalvelimen varmistaaksesi, että muutokset tulevat voimaan.

Lisätietoja on artikkelissa Windows-todennuksen määrittäminen raporttipalvelimessa.

Palvelun päänimeä raporttipalvelimen palvelutiliä varten

Seuraavaksi on varmistettava, että raporttipalvelimessa on käytettävissä kelvolliset palvelun päänimet. Tämä perustuu palvelutiliin, joka on määritetty raporttipalvelimelle.

Virtuaalinen palvelutili tai verkkopalvelu

Jos raporttipalvelin on määritetty virtuaalista palvelutiliä tai verkkopalvelutiliä varten, sinun ei pitäisi joutua tekemään mitään. Nämä tiedot koskevat konetiliä. Konetilissä on oletusarvoisesti isäntäkoneen palvelun päänimet. Ne kattavat HTTP-palvelun, ja raporttipalvelin käyttää niitä.

Jos käytät näennäispalvelimen nimeä, ISÄNTÄ-merkinnät eivät kata sinua, ja sinun on lisättävä palvelun päänimet manuaalisesti näennäispalvelimen isäntänimeä varten.

Toimialueen käyttäjätili

Jos raporttipalvelin on määritetty käyttämään toimialueen käyttäjätiliä, sinun on luotava manuaalisesti kyseisen tilin HTTP-palvelun päänimet. Tämä voidaan tehdä Windowsin mukana tulevalla setspn-työkalulla.

Muistiinpano

Palvelun päänimen luomiseen tarvitaan toimialueen järjestelmänvalvojan oikeudet.

On suositeltavaa luoda kaksi palvelun päänimeä. Toisessa on NetBIOS-nimi ja toisessa täydellinen toimialuenimi (FQDN). Palvelun päänimi on seuraavassa muodossa.

<Service>/<Host>:<port>

Power BI -raporttipalvelin käyttää HTTP-palvelua. HTTP-palvelun päänimissä ei luetella porttia. Tässä on HTTP-palvelu, jota haluamme. Palvelun päänimen isäntä on nimi, jota käytät URL-osoitteessa. Yleensä tämä on tietokoneen nimi. Jos olet kuormituksentasaimen takana, tämä voi olla virtuaalinen nimi.

Muistiinpano

Voit tarkistaa URL-osoitteen joko selaimen osoiteriviltä tai raporttipalvelimen määritystenhallinnasta Verkkoportaalin URL-osoite-välilehdeltä.

Jos tietokoneen nimi on ContosoRS, palvelun päänimesi ovat seuraavat.

Palvelun päänimen tyyppi Palvelun päänimi
Täydellinen toimialuenimi (FQDN) HTTP/ContosoRS.contoso.com
Netbios HTTP/ContosoRS

Palvelun päänimen sijainti

Mihin siis sijoitat palvelun päänimen? Palvelun päänimi sijoitetaan sen mukaan, mitä käytät palvelutiliä varten. Jos käytössäsi on virtuaalinen palvelutili tai verkkopalvelu, tämä on tietokonetili. Kuten aiemmin kerroimme, tämä on tehtävä vain virtuaalista URL-osoitetta varten. Jos käytät toimialueen käyttäjää raporttipalvelimen palvelutiliä varten, sijoita palvelun päänimi kyseisen toimialueen käyttäjätiliin.

Jos käytössä on esimerkiksi verkkopalvelutili ja tietokoneen nimi on ContosoRS, palvelun päänimen sijainti on ContosoRS.

Jos käytössä on RSServicen toimialueen käyttäjätili, palvelun päänimen sijainti on RSService.

Palvelun päänimen lisääminen SetSPN-toiminnon avulla

Voit lisätä palvelun päänimen SetSPN-työkalun avulla. Käytämme samaa esimerkkiä kuin edellä tietokonetilin ja toimialueen käyttäjätilin kanssa.

Palvelun päänimi sijoitetaan tietokonetilille (sekä FQDN:ssä että NetBIOSissa) seuraavasti, jos käytössä on virtuaalinen URL-osoite contosoreports.

Setspn -a HTTP/contosoreports.contoso.com ContosoRS
Setspn -a HTTP/contosoreports ContosoRS

Palvelun päänimi sijoitetaan toimialueen käyttäjätilille (sekä FQDN:ssä että NetBIOSissa) seuraavasti, jos käytössä on tietokoneen nimi palvelun päänimen isäntää varten.

Setspn -S HTTP/ContosoRS.contoso.com RSService
Setspn -S HTTP/ContosoRS RSService

Palvelun päänimeä Analysis Services -palvelua varten

Analysis Services -palvelun päänukset ovat vastaavat kuin aiemmin Power BI -raporttipalvelimen kanssa. Palvelun päänimen muoto on hieman erilainen, jos sinulla on nimetty esiintymä.

Analysis Servicesiä varten käytämme MSOLAPSvc.3-palvelua. Määritämme esiintymän nimen portin sijainnille palvelun päänimessä. Palvelun päänimen isäntäosa on joko tietokoneen nimi tai klusterin virtuaalinen nimi.

Analysis Servicesin palvelun päänimi voi näyttää esimerkiksi seuraavalta.

Tyyppi Muoto
Oletusesiintymä MSOLAPSvc.3/ContosoAS.contoso.com
MSOLAPSvc.3/ContosoAS
Nimetty esiintymä MSOLAPSvc.3/ContosoAS.contoso.com:INSTANCENAME
MSOLAPSvc.3/ContosoAS:INSTANCENAME

Myös palvelun päänimen sijoitus on vastaava kuin edellä mainitun Power BI -raporttipalvelimen kanssa. Se perustuu palvelutiliin. Jos käytössäsi on paikallinen järjestelmä tai verkkopalvelu, olet tietokonetilin kontekstissa. Jos käytät toimialueen käyttäjätiliä Analysis Services -esiintymää varten, sijoita palvelun päänimi toimialueen käyttäjätiliin.

Palvelun päänimen lisääminen SetSPN-toiminnon avulla

Voit lisätä palvelun päänimen SetSPN-työkalun avulla. Tässä esimerkissä tietokoneen nimi on ContosoAS.

Palvelun päänimi sijoitetaan tietokonetilille (sekä FQDN:ssä että NetBIOSissa) seuraavasti.

Setspn -S MSOLAPSvc.3/ContosoAS.contoso.com ContosoAS
Setspn -S MSOLAPSvc.3/ContosoAS ContosoAS

Palvelun päänimi sijoitetaan toimialueen käyttäjätilille (sekä FQDN:ssä että NetBIOSissa) seuraavasti.

Setspn -S MSOLAPSvc.3/ContosoAS.contoso.com OLAPService
Setspn -S MSOLAPSvc.3/ContosoAS OLAPService

SQL Browser -palvelun päänimet

Jos käytössä on Analysis Servicesin nimetty esiintymä, sinun on myös varmistettava, että sinulla on palvelun päänimi selainpalvelua varten. Tämä on yksilöllinen Analysis Servicesiä varten.

SQL Browser -palvelun päänimet ovat vastaavat kuin aiemmin Power BI -raporttipalvelimen kanssa.

SQL Browseria varten käytämme MSOLAPDisco.3-palvelua. Määritämme esiintymän nimen portin sijainnille palvelun päänimessä. Palvelun päänimen isäntäosa on joko tietokoneen nimi tai klusterin virtuaalinen nimi. Sinun ei tarvitse määrittää mitään esiintymän nimeä tai porttia.

Analysis Servicesin palvelun päänimi voi näyttää esimerkiksi seuraavalta.

MSOLAPDisco.3/ContosoAS.contoso.com
MSOLAPDisco.3/ContosoAS

Myös palvelun päänimen sijoitus on vastaava kuin edellä mainitun Power BI -raporttipalvelimen kanssa. Erona on, että SQL Browser suoritetaan aina paikallisen järjestelmätilin alaisuudessa. Tämä tarkoittaa sitä, että palvelun päänukset kulkevat aina tietokonetiliin.

Palvelun päänimen lisääminen SetSPN-toiminnon avulla

Voit lisätä palvelun päänimen SetSPN-työkalun avulla. Tässä esimerkissä tietokoneen nimi on ContosoAS.

Palvelun päänimi sijoitetaan tietokonetilille (sekä FQDN:ssä että NetBIOSissa) seuraavasti.

Setspn -S MSOLAPDisco.3/ContosoAS.contoso.com ContosoAS
Setspn -S MSOLAPDisco.3/ContosoAS ContosoAS

Lisätietoja on artikkelissa SQL Server Browser -palvelun päänimi vaaditaan.

Delegointiasetukset raporttipalvelimen palvelutilissä

Viimeinen määritettävä osa on raporttipalvelimen palvelutilin delegointiasetukset. Voit suorittaa nämä vaiheet eri työkaluilla. Tässä asiakirjassa käytämme Active Directory Users and Computers -tietokoneita.

Sinun on aloitettava siirtymällä raporttipalvelimen palvelutilin ominaisuuksiin Active Directory Users and Computers -palvelimessa. Tämä on tietokonetili, jos käytössä on virtuaalinen palvelutili tai verkkopalvelu tai toimialueen käyttäjätili.

Rajoitettu delegointi on määritettävä protokollan siirtämisellä. Rajoitetussa delegoinnissa on määritettävä yksityiskohtaisesti, mihin palveluihin haluat delegoida. Lisäämme sekä Analysis Servicesin palvelun päänimen että SQL Browserin palvelun päänimen luetteloon, johon Power BI -raporttipalvelin voi delegoida.

  1. Valitse raporttipalvelimen palvelutili hiiren kakkospainikkeella ja valitse Ominaisuudet.

  2. Valitse Delegointi-välilehti.

  3. Valitse Luota tähän tietokoneeseen vain määritettyihin palveluihin delegointia varten.

  4. Valitse Käytä mitä tahansa todennusprotokollaa.

  5. Valitse Palvelut, joille tämä tili voi esittää delegoidut tunnistetiedot: -kohdassa Lisää.

  6. Valitse uudessa valintaikkunassa Käyttäjät tai tietokoneet.

  7. Anna Analysis Services -palvelun palvelutili ja valitse OK.

  8. Valitse palvelun päänimi, jonka loit. Se alkaa merkkijonolla MSOLAPSvc.3. Jos olet lisännyt sekä FQDN:n että NetBIOSin SPN:n, molemmat valitaan. Saatat nähdä niistä vain toisen.

  9. Valitse OK. Palvelun päänimen pitäisi näkyä nyt luettelossa.

  10. Voit myös valita Laajennettu , jolloin sekä FQDN:n että NetBIOSin palvelun päänimi näkyvät luettelossa.

  11. Valitse Lisää uudelleen. Nyt lisäämme SQL Browserin palvelun päänimen.

  12. Valitse uudessa valintaikkunassa Käyttäjät tai tietokoneet.

  13. Anna tietokoneen nimi koneelle, jossa SQL Browser -palvelu on käytössä, ja valitse Ok.

  14. Valitse palvelun päänimi, jonka loit. Se alkaa merkkijonolla MSOLAPDisco.3. Jos olet lisännyt sekä FQDN:n että NetBIOSin SPN:n, molemmat valitaan. Saatat nähdä niistä vain toisen.

  15. Valitse Ok. Valintaikkunan pitäisi näyttää samalta kuin alla, jos valitsit Laajennettu.

    Power BI -raporttien näyttökuva, jossa on Ominaisuudet-ikkunan Delegointi-välilehti.

  16. Valitse Ok.

  17. Käynnistä Power BI -raporttipalvelin uudelleen.

Power BI -raportin suorittaminen

Kun kaikki edellä mainitut määritykset on tehty, raportin pitäisi näkyä oikein.

Power BI -raporttien näyttökuva, jossa on koontinäyttönäkymän malli.

Vaikka tämän määrityksen pitäisi toimia useimmissa tapauksissa, Kerberosta käytettäessä voi olla erilaisia määrityksiä ympäristön mukaan. Jos raportti ei vieläkään lataudu, ota yhteyttä toimialueen järjestelmänvalvojaan tai tukeen.