Konfigurer Kerberos til å bruke Power BI-rapporter

Lær hvordan du konfigurerer rapportserveren for Kerberos-godkjenning til datakilder som brukes i Power BI-rapportene for et distribuert miljø.

Merk

Denne videoen kan bruke tidligere versjoner av rapportserver for Power BI.

rapportserver for Power BI inkluderer muligheten til å være vert for Power BI-rapporter. Mange datakilder støttes av rapportserveren. Selv om denne artikkelen fokuserer spesielt på SQL Server Analysis Services, kan du bruke konseptene og bruke den på andre datakilder, for eksempel SQL Server.

Du kan installere rapportserver for Power BI, SQL Server og Analysis Services på én enkelt maskin, og alt skal fungere uten ekstra konfigurasjon. Dette er flott for et testmiljø. Du kan treffe feil hvis du har disse tjenestene installert på separate maskiner som kalles et distribuert miljø. I dette miljøet må du bruke Kerberos-godkjenning. Det kreves konfigurasjon for å implementere dette.

Spesielt må du konfigurere avgrenset delegering. Det kan hende at Kerberos er konfigurert i miljøet, men det kan hende at det ikke er konfigurert for avgrenset delegering.

Feil under kjøring av rapport

Hvis rapportserveren ikke er riktig konfigurert, kan det hende du får følgende feil.

Something went wrong.

We couldn't run the report because we couldn't connect to its data source. The report or data source might not be configured correctly. 

I tekniske detaljer vil du se følgende melding.

We couldn't connect to the Analysis Services server. The server forcibly closed the connection. To connect as the user viewing the report, your organization must have configured Kerberos constrained delegation.

Konfigurere Kerberos-avgrenset delegering

Det finnes flere elementer som må konfigureres for at Kerberos-avgrenset delegering skal fungere. Dette inkluderer tjenestehovednavn (SPN) og delegeringsinnstillinger for tjenestekontoer.

Merk

Hvis du vil konfigurere SPN-er og delegeringsinnstillinger, må du være domeneadministrator.

Vi må konfigurere, eller validere, følgende.

1. Godkjenningstype i rapportserverkonfigurasjonen.
2. SPN-er for tjenestekontoen for rapportserveren.
3. SPN-er for Analysis Services-tjenesten.
4. SPN-er for SQL Browser-tjenesten på Analysis Services-maskinen. Dette gjelder bare for navngitte forekomster.
5. Delegeringsinnstillinger på tjenestekontoen for rapportserveren.

Godkjenningstype i rapportserverkonfigurasjon

Vi må konfigurere godkjenningstypen for rapportserveren for å tillate kerberos-avgrenset delegering. Dette gjøres i filen rsreportserver.config . Standardplasseringen for denne filen er C:\Program Files\Microsoft Power BI Report Server\PBIRS\ReportServer.

I filen rsreportserver.config vil du bøtelegge delen Godkjenning/AuthenticationTypes .

Vi vil forsikre oss om at RSWindowsNegotiate er oppført og den første i listen over godkjenningstyper. Det skal se omtrent slik ut.

<AuthenticationTypes>
    <RSWindowsNegotiate/>
    <RSWindowsNTLM/>
</AuthenticationTypes>

Hvis du måtte endre konfigurasjonsfilen, vil du stoppe og starte rapportserveren for å sikre at endringene trer i kraft.

Hvis du vil ha mer informasjon, kan du se Konfigurere Windows-godkjenning på rapportserveren.

SPN-er for tjenestekontoen for rapportserveren

Deretter må vi sørge for at rapportserveren har gyldige SPN-er tilgjengelig. Dette er basert på tjenestekontoen som er konfigurert for rapportserveren.

Virtuell tjenestekonto eller nettverkstjeneste

Hvis rapportserveren er konfigurert for kontoen for virtuell tjeneste eller nettverkstjeneste, trenger du ikke å gjøre noe. Disse er i konteksten til maskinkontoen. Maskinkontoen har VERTS-SPN-er som standard. Disse vil dekke HTTP-tjenesten og vil bli brukt av rapportserveren.

Hvis du bruker et virtuelt servernavn, et som ikke er det samme som maskinkontoen, dekker ikke VERT-oppføringene deg, og du må legge til SPN-ene manuelt for vertsnavnet for den virtuelle serveren.

Domenebrukerkonto

Hvis rapportserveren er konfigurert til å bruke en domenebrukerkonto, må du opprette HTTP SPN-er manuelt på denne kontoen. Dette kan gjøres ved hjelp av setspn-verktøyet som følger med Windows.

Merk

Du trenger domeneadministratorrettigheter for å kunne opprette SPN.

Det anbefales å opprette to SPN-er. Ett med NetBIOS-navnet og det andre med det fullstendige domenenavnet (FQDN). SPN-en vil være i følgende format.

<Service>/<Host>:<port>

rapportserver for Power BI bruker en http-tjeneste. For HTTP SPN-er vil du ikke føre opp en port. Tjenesten vi er interessert i her er HTTP. Verten for SPN-en vil være navnet du bruker i en URL-adresse. Dette er vanligvis maskinnavnet. Hvis du står bak en belastningsfordeling, kan dette være et virtuelt navn.

Merk

Du kan bekrefte nettadressen ved enten å se på hva du skriver inn i adresselinjen i nettleseren, eller du kan se i Konfigurasjonsbehandling for rapportserver på nettportal-nettadressefanen.

Hvis maskinnavnet er ContosoRS, vil SPN-ene være følgende.

SPN-type	SPN
Fullstendig domenenavn (FQDN)	HTTP/ContosoRS.contoso.com
Netbios	HTTP/ContosoRS

Plassering av SPN

Hvor plasserer du SPN-en? SPN-en plasseres på det du bruker for tjenestekontoen. Hvis du bruker virtuell tjenestekonto eller nettverkstjeneste, blir dette maskinkontoen. Selv om vi nevnte før, trenger du bare å gjøre dette for en virtuell nettadresse. Hvis du bruker en domenebruker for tjenestekontoen for rapportserveren, plasserer du SPN på denne domenebrukerkontoen.

Hvis vi for eksempel bruker nettverkstjenestekontoen og maskinnavnet vårt er ContosoRS, plasserer vi SPN på ContosoRS.

Hvis vi bruker en domenebrukerkonto for RSService, plasserer vi SPN på RSService.

Bruke SetSPN til å legge til SPN

Vi kan bruke SetSPN-verktøyet til å legge til SPN. Vi følger det samme eksemplet som ovenfor med Maskin-kontoen og domenebrukerkontoen.

Hvis du plasserer SPN på en maskinkonto, for både FQDN og NetBIOS SPN, ser det omtrent slik ut hvis vi brukte en virtuell nettadresse for contosoreports.

Setspn -a HTTP/contosoreports.contoso.com ContosoRS
Setspn -a HTTP/contosoreports ContosoRS

Hvis du plasserer SPN på en domenebrukerkonto, for både FQDN og NetBIOS SPN, ser det omtrent slik ut hvis du brukte maskinnavnet for verten for SPN.

Setspn -S HTTP/ContosoRS.contoso.com RSService
Setspn -S HTTP/ContosoRS RSService

SPN-er for Analysis Services-tjenesten

SPN-ene for Analysis Services ligner på det vi gjorde med rapportserver for Power BI. Formatet til SPN er litt annerledes hvis du har en navngitt forekomst.

For Analysis Services bruker vi en tjeneste for MSOLAPSvc.3. Vi angir forekomstnavnet for portplasseringen på SPN-en. Vertsdelen av SPN-en vil enten være maskinnavnet eller det virtuelle klyngenavnet.

Et eksempel på en Analysis Services SPN vil se slik ut.

Type	Format
Standardforekomst	MSOLAPSvc.3/ContosoAS.contoso.com MSOLAPSvc.3/ContosoAS
Navngitt forekomst	MSOLAPSvc.3/ContosoAS.contoso.com:INSTANCENAME MSOLAPSvc.3/ContosoAS:INSTANCENAME

Plassering av SPN ligner også på det som ble nevnt med rapportserver for Power BI. Den er basert på tjenestekontoen. Hvis du bruker lokalt system eller nettverkstjeneste, vil du være i konteksten til maskinkontoen. Hvis du bruker en domenebrukerkonto for Analysis Services-forekomsten, plasserer du SPN på domenebrukerkontoen.

Bruke SetSPN til å legge til SPN

Vi kan bruke SetSPN-verktøyet til å legge til SPN. I dette eksemplet vil maskinnavnet være ContosoAS.

Hvis du plasserer SPN på en maskinkonto, vil både FQDN og NetBIOS SPN se omtrent slik ut.

Setspn -S MSOLAPSvc.3/ContosoAS.contoso.com ContosoAS
Setspn -S MSOLAPSvc.3/ContosoAS ContosoAS

Hvis du plasserer SPN på en domenebrukerkonto, for både FQDN og NetBIOS SPN, ser det omtrent slik ut.

Setspn -S MSOLAPSvc.3/ContosoAS.contoso.com OLAPService
Setspn -S MSOLAPSvc.3/ContosoAS OLAPService

SPN-er for SQL Browser-tjenesten

Hvis du har en navngitt forekomst av Analysis Services, må du også kontrollere at du har en SPN for nettlesertjenesten. Dette er unikt for Analysis Services.

SPN-ene for SQL Browser ligner på det vi gjorde med rapportserver for Power BI.

For SQL Browser bruker vi en tjeneste for MSOLAPDisco.3. Vi angir forekomstnavnet for portplasseringen på SPN-en. Vertsdelen av SPN-en vil enten være maskinnavnet eller det virtuelle klyngenavnet. Du trenger ikke å angi noe for forekomstnavnet eller porten.

Et eksempel på en Analysis Services SPN vil se slik ut.

MSOLAPDisco.3/ContosoAS.contoso.com
MSOLAPDisco.3/ContosoAS

Plassering av SPN ligner også på det som ble nevnt med rapportserver for Power BI. Forskjellen her er at SQL Browser alltid kjører under lokalsystemkontoen. Dette betyr at SPN-ene alltid vil gå på maskinkontoen.

Bruke SetSPN til å legge til SPN

Vi kan bruke SetSPN-verktøyet til å legge til SPN. I dette eksemplet vil maskinnavnet være ContosoAS.

Hvis du plasserer SPN på maskinkontoen, vil både FQDN og NetBIOS SPN se omtrent slik ut.

Setspn -S MSOLAPDisco.3/ContosoAS.contoso.com ContosoAS
Setspn -S MSOLAPDisco.3/ContosoAS ContosoAS

Hvis du vil ha mer informasjon, kan du se En SPN for SQL Server Browser-tjenesten kreves.

Delegeringsinnstillinger på tjenestekontoen for rapportserveren

Den siste delen vi må konfigurere, er delegeringsinnstillingene på tjenestekontoen for rapportserveren. Det finnes forskjellige verktøy du kan bruke til å utføre disse trinnene. I forbindelse med dette dokumentet holder vi oss til Active Directory-brukere og -datamaskiner.

Du må starte ved å gå til egenskapene for tjenestekontoen for rapportserveren i Active Directory-brukere og -datamaskiner. Dette vil enten være maskinkontoen, hvis du brukte virtual service-konto eller nettverkstjeneste, eller det vil være en domenebrukerkonto.

Vi vil konfigurere avgrenset delegering med protokolltransitt. Med avgrenset delegering må du være eksplisitt med hvilke tjenester vi vil delegere til. Vi vil gå og legge til både Analysis Services-tjenesten SPN og SQL Browser SPN i listen som rapportserver for Power BI kan delegere til.

1. Høyreklikk på tjenestekontoen for rapportserveren, og velg Egenskaper.

2. Velg Delegering-fanen.

3. Velg Klarer denne datamaskinen for delegering bare til angitte tjenester.

4. Velg Bruk en hvilken som helst godkjenningsprotokoll.

5. Velg Legg til under Tjenestene som denne kontoen kan presentere delegert legitimasjon for: Velg Legg til.

6. Velg Brukere eller datamaskiner i den nye dialogboksen.

7. Angi tjenestekontoen for Analysis Services-tjenesten, og velg OK.

8. Velg SPN-en du opprettet. Det begynner med MSOLAPSvc.3. Hvis du har lagt til både FQDN og NetBIOS SPN, velger du begge. Du kan bare se én.

9. Velg OK. Du skal nå se SPN-en i listen.

10. Du kan også velge Utvidet for å vise både FQDN og NetBIOS SPN i listen.

11. Velg Legg til på nytt. Vi legger til SQL Browser SPN nå.

12. Velg Brukere eller datamaskiner i den nye dialogboksen.

13. Skriv inn maskinnavnet for maskinen SQL Browser-tjenesten er på, og velg OK.

14. Velg SPN-en du opprettet. Det begynner med MSOLAPDisco.3. Hvis du har lagt til både FQDN og NetBIOS SPN, velger du begge. Du kan bare se én.

15. Velg OK. Dialogboksen skal se omtrent slik ut hvis du har merket av for Utvidet.

    

16. Velg OK.

17. Start rapportserver for Power BI på nytt.

Kjøre en Power BI-rapport

Når all konfigurasjonen ovenfor er på plass, skal rapporten vises riktig.

Selv om denne konfigurasjonen i de fleste tilfeller skal fungere med Kerberos, kan det være forskjellig konfigurasjon avhengig av miljøet ditt. Hvis rapporten fremdeles ikke lastes inn, vil du kontakte domeneadministratoren for å undersøke nærmere eller kontakte kundestøtte.

Relatert innhold

• Administratoroversikt
• Installer rapportserver for Power BI

Har du flere spørsmål? Prøv å spørre Power BI-fellesskap