Konfigurace protokolu Kerberos pro použití sestav Power BI

Zjistěte, jak nakonfigurovat server sestav pro ověřování protokolem Kerberos na zdroje dat používané v sestavách Power BI pro distribuované prostředí.

Poznámka:

Toto video může používat starší verze Server sestav Power BI.

Server sestav Power BI zahrnuje možnost hostovat sestavy Power BI. Server sestav podporuje mnoho zdrojů dat. I když se tento článek zaměřuje konkrétně na Služba Analysis Services serveru SQL, můžete použít koncepty a použít je u jiných zdrojů dat, jako je SQL Server.

Službu Server sestav Power BI, SQL Server a Analysis Services můžete nainstalovat na jeden počítač a vše by mělo fungovat bez další konfigurace. To je skvělé pro testovací prostředí. Pokud máte tyto služby nainstalované na samostatných počítačích, které se nazývají distribuované prostředí, může dojít k chybám. V tomto prostředí budete muset použít ověřování protokolem Kerberos. K implementaci je nutná konfigurace.

Konkrétně budete muset nakonfigurovat omezené delegování. Možná máte ve svém prostředí nakonfigurovaný protokol Kerberos, ale nemusí být nakonfigurovaný pro omezené delegování.

Chyba při spuštění sestavy

Pokud server sestav není správně nakonfigurovaný, může se zobrazit následující chyba.

Something went wrong.

We couldn't run the report because we couldn't connect to its data source. The report or data source might not be configured correctly. 

V rámci technických podrobností se zobrazí následující zpráva.

We couldn't connect to the Analysis Services server. The server forcibly closed the connection. To connect as the user viewing the report, your organization must have configured Kerberos constrained delegation.

Konfigurace omezeného delegování kerberos

Aby omezené delegování Protokolu Kerberos fungovalo, je potřeba nakonfigurovat několik položek. To zahrnuje hlavní názvy služeb (SPN) a nastavení delegování u účtů služeb.

Poznámka:

Abyste mohli konfigurovat hlavní názvy služeb a nastavení delegování, musíte být správcem domény.

Budeme muset nakonfigurovat nebo ověřit následující:

1. Typ ověřování v rámci konfigurace serveru sestav.
2. Hlavní názvy služeb pro účet služby serveru sestav.
3. Hlavní názvy služeb (SPN) pro službu Analysis Services
4. Hlavní názvy služeb (SPN) pro službu SQL Browser na počítači analysis Services Toto je pouze pro pojmenované instance.
5. Nastavení delegování v účtu služby serveru sestav.

Typ ověřování v rámci konfigurace serveru sestav

Musíme nakonfigurovat typ ověřování pro server sestav tak, aby umožňoval omezené delegování Protokolu Kerberos. To se provádí v souboru rsreportserver.config . Výchozí umístění pro tento soubor je C:\Program Files\Microsoft Power BI Report Server\PBIRS\ReportServer.

V souboru rsreportserver.config budete chtít vyladit část Authentication/AuthenticationTypes .

Chceme se ujistit, že je rsWindowsNegotiate uvedený a první v seznamu typů ověřování. Měl by vypadat nějak takto.

<AuthenticationTypes>
    <RSWindowsNegotiate/>
    <RSWindowsNTLM/>
</AuthenticationTypes>

Pokud jste museli změnit konfigurační soubor, budete chtít server sestav zastavit a spustit, aby se změny projevily.

Další informace naleznete v tématu Konfigurace ověřování systému Windows na serveru sestav.

Hlavní názvy služeb pro účet služby serveru sestav

Dále se musíme ujistit, že server sestav má k dispozici platné hlavní názvy služeb .SPN. To je založené na účtu služby, který je nakonfigurovaný pro server sestav.

Účet virtuální služby nebo síťová služba

Pokud je server sestav nakonfigurovaný pro účet virtuální služby nebo účet síťové služby, neměli byste nic dělat. Jsou v kontextu účtu počítače. Účet počítače bude mít ve výchozím nastavení hlavní názvy služby HOSTITELE. Ty se týkají služby HTTP a budou používány serverem sestav.

Pokud používáte název virtuálního serveru, který není stejný jako účet počítače, nezakryje vás položky HOSTITELE a budete muset ručně přidat hlavní názvy služby pro název hostitele virtuálního serveru.

Uživatelský účet domény

Pokud je server sestav nakonfigurovaný tak, aby používal uživatelský účet domény, budete muset pro tento účet ručně vytvořit hlavní názvy služby HTTP. Můžete to provést pomocí nástroje setspn, který je součástí Windows.

Poznámka:

K vytvoření hlavního názvu služby budete potřebovat práva správce domény.

Doporučujeme vytvořit dva hlavní názvy služeb. Jeden s názvem NetBIOS a druhým s plně kvalifikovaným názvem domény (FQDN). Hlavní název služby bude v následujícím formátu.

<Service>/<Host>:<port>

Server sestav Power BI bude používat službu HTTP. Pro hlavní názvy služby HTTP nebudete vypisovat port. Služba, která nás zajímá, je HTTP. Hostitelem hlavního názvu služby (SPN) bude název, který použijete v adrese URL. Obvykle se jedná o název počítače. Pokud se nacházíte za nástrojem pro vyrovnávání zatížení, může se jednat o virtuální název.

Poznámka:

Adresu URL můžete ověřit tak, že se podíváte na to, co zadáte do adresního řádku prohlížeče, nebo se můžete podívat na Správce konfigurace serveru sestav na kartě Adresa URL webového portálu.

Pokud je název vašeho počítače ContosoRS, hlavní názvy služeb (SPN) by byly následující.

Typ hlavního názvu služby (SPN)	SPN
Plně kvalifikovaný název domény (FQDN)	HTTP/ContosoRS.contoso.com
NetBIOS	HTTP/ContosoRS

Umístění hlavního názvu služby (SPN)

Tak, kde jsi dal hlavní název služby? Hlavní název služby (SPN) se umístí na cokoli, co používáte pro svůj účet služby. Pokud používáte účet virtuální služby nebo síťovou službu, bude to účet počítače. I když jsme se zmínili dříve, měli byste to udělat jenom pro virtuální adresu URL. Pokud pro účet služby serveru sestav používáte uživatele domény, umístíte hlavní název služby na tento uživatelský účet domény.

Pokud například používáme účet síťové služby a název našeho počítače je ContosoRS, umístili bychom hlavní název služby (SPN) do ContosoRS.

Pokud používáme uživatelský účet domény SLUŽBY RSService, umístili bychom hlavní název služby (SPN) na RSService.

Přidání hlavního názvu služby (SPN) pomocí setSPN

K přidání hlavního názvu služby (SPN) můžeme použít nástroj SetSPN. Budeme postupovat stejně jako v předchozím příkladu s účtem počítače a uživatelským účtem domény.

Umístění hlavního názvu služby (SPN) na účet počítače, pro plně kvalifikovaný název domény i hlavní název služby NetBIOS, by vypadalo podobně jako v případě, že bychom používali virtuální adresu URL contosoreports.

Setspn -a HTTP/contosoreports.contoso.com ContosoRS
Setspn -a HTTP/contosoreports ContosoRS

Umístění hlavního názvu služby (SPN) na uživatelský účet domény pro plně kvalifikovaný název domény i hlavní název služby NetBIOS by vypadalo podobně jako v případě, že jste pro hostitele hlavního názvu služby používali název počítače.

Setspn -S HTTP/ContosoRS.contoso.com RSService
Setspn -S HTTP/ContosoRS RSService

Hlavní názvy služeb (SPN) pro službu Analysis Services

Hlavní názvy služeb pro službu Analysis Services se podobají tomu, co jsme udělali s Server sestav Power BI. Formát hlavního názvu služby je trochu jiný, pokud máte pojmenovanou instanci.

Pro Službu Analysis Services používáme službu MSOLAPSvc.3. Pro umístění portu v hlavním názvu služby určíme název instance. Hostitelská část hlavního názvu služby (SPN) bude buď název počítače, nebo virtuální název clusteru.

Příklad hlavního názvu služby Analysis Services by vypadal následovně.

Typ	Formát
Výchozí instance	MSOLAPSvc.3/ContosoAS.contoso.com MSOLAPSvc.3/ContosoAS
Pojmenovaná instance	MSOLAPSvc.3/ContosoAS.contoso.com:INSTANCENAME MSOLAPSvc.3/ContosoAS:INSTANCENAME

Umístění hlavního názvu služby (SPN) je podobné tomu, co bylo zmíněno s Server sestav Power BI. Je založená na účtu služby. Pokud používáte místní systém nebo síťovou službu, budete v kontextu účtu počítače. Pokud používáte uživatelský účet domény pro instanci služby Analysis Services, umístíte hlavní název služby (SPN) do uživatelského účtu domény.

Přidání hlavního názvu služby (SPN) pomocí setSPN

K přidání hlavního názvu služby (SPN) můžeme použít nástroj SetSPN. V tomto příkladu bude název počítače ContosoAS.

Umístění hlavního názvu služby na účet počítače pro plně kvalifikovaný název domény i hlavní název služby NetBIOS by vypadalo podobně jako v následujícím příkladu.

Setspn -S MSOLAPSvc.3/ContosoAS.contoso.com ContosoAS
Setspn -S MSOLAPSvc.3/ContosoAS ContosoAS

Umístění hlavního názvu služby (SPN) na uživatelský účet domény pro plně kvalifikovaný název domény i hlavní název služby NetBIOS by vypadalo podobně jako v následujícím příkladu.

Setspn -S MSOLAPSvc.3/ContosoAS.contoso.com OLAPService
Setspn -S MSOLAPSvc.3/ContosoAS OLAPService

Hlavní názvy služeb (SPN) pro službu SQL Browser

Pokud máte pojmenovanou instanci služby Analysis Services, musíte se také ujistit, že máte hlavní název služby (SPN) pro službu prohlížeče. To je jedinečné pro Analysis Services.

Hlavní názvy služeb pro SQL Browser se podobají tomu, co jsme dělali s Server sestav Power BI.

Pro SQL Browser používáme službu MSOLAPDisco.3. Pro umístění portu v hlavním názvu služby určíme název instance. Hostitelská část hlavního názvu služby (SPN) bude buď název počítače, nebo virtuální název clusteru. Nemusíte zadávat nic pro název instance nebo port.

Příklad hlavního názvu služby Analysis Services by vypadal následovně.

MSOLAPDisco.3/ContosoAS.contoso.com
MSOLAPDisco.3/ContosoAS

Umístění hlavního názvu služby (SPN) je podobné tomu, co bylo zmíněno s Server sestav Power BI. Rozdíl je v tom, že SQL Browser se vždy spouští pod účtem Místního systému. To znamená, že hlavní názvy služeb budou vždy chodit na účet počítače.

Přidání hlavního názvu služby (SPN) pomocí setSPN

K přidání hlavního názvu služby (SPN) můžeme použít nástroj SetSPN. V tomto příkladu bude název počítače ContosoAS.

Umístění hlavního názvu služby (SPN) na účet počítače pro plně kvalifikovaný název domény i hlavní název služby NetBIOS by vypadalo podobně jako v následujícím příkladu.

Setspn -S MSOLAPDisco.3/ContosoAS.contoso.com ContosoAS
Setspn -S MSOLAPDisco.3/ContosoAS ContosoAS

Další informace najdete v tématu Hlavní název služby (SPN) pro službu SQL Server Browser.

Nastavení delegování na účtu služby serveru sestav

Poslední část, kterou musíme nakonfigurovat, jsou nastavení delegování na účtu služby serveru sestav. K provedení těchto kroků můžete použít různé nástroje. Pro účely tohoto dokumentu budeme držet Uživatelé a počítače služby Active Directory.

Budete muset začít tím, že přejdete na vlastnosti účtu služby serveru sestav v rámci Uživatelé a počítače služby Active Directory. Bude to buď účet počítače, pokud jste použili účet virtuální služby nebo síťovou službu, nebo se jedná o uživatelský účet domény.

Budeme chtít nakonfigurovat omezené delegování s přenosem protokolu. U omezeného delegování musíte být explicitní s tím, na které služby chceme delegovat. Přejdeme a přidáme hlavní název služby Analysis Services i hlavní název služby SQL Browser do seznamu, na který Server sestav Power BI může delegovat.

1. Klikněte pravým tlačítkem na účet služby serveru sestav a vyberte Vlastnosti.

2. Vyberte kartu Delegování.

3. Vyberte Možnost Důvěřovat tomuto počítači pro delegování pouze určeným službám.

4. Vyberte Použít libovolný ověřovací protokol.

5. V části Služby, ke kterým může tento účet prezentovat delegovaná pověření: vyberte Přidat.

6. V novém dialogovém okně vyberte Uživatelé nebo Počítače.

7. Zadejte účet služby pro službu Analysis Services a vyberte OK.

8. Vyberte hlavní název služby( SPN), který jste vytvořili. Začne s MSOLAPSvc.3. Pokud jste přidali plně kvalifikovaný název domény i hlavní název služby NetBIOS, vybere se obojí. Může se zobrazit jenom jedna.

9. Vyberte OK. Hlavní název služby (SPN) by se měl zobrazit v seznamu.

10. Volitelně můžete vybrat Rozbalené, aby se v seznamu zobrazil plně kvalifikovaný název domény i hlavní název služby NetBIOS.

11. Znovu vyberte Přidat . Teď přidáme hlavní název služby (SPN) sql Browseru.

12. V novém dialogovém okně vyberte Uživatelé nebo Počítače.

13. Zadejte název počítače pro počítač, na který je služba SQL Browser zapnutá, a vyberte OK.

14. Vyberte hlavní název služby( SPN), který jste vytvořili. Začne s MSOLAPDisco.3. Pokud jste přidali plně kvalifikovaný název domény i hlavní název služby NetBIOS, vybere se obojí. Může se zobrazit jenom jedna.

15. Vyberte OK. Dialogové okno by mělo vypadat podobně jako v případě, že jste zaškrtli možnost Rozbalit.

    

16. Vyberte OK.

17. Restartujte Server sestav Power BI.

Spuštění sestavy Power BI

Po nastavení všech výše uvedených konfigurací by se měla sestava správně zobrazit.

I když by tato konfigurace měla ve většině případů fungovat s Protokolem Kerberos, může v závislosti na vašem prostředí existovat jiná konfigurace. Pokud se sestava stále nenačte, budete se chtít obrátit na správce domény a prověřit další šetření nebo kontaktovat podporu.

Související obsah

• přehled Správa istratoru
• Instalace Server sestav Power BI

Máte ještě další otázky? Zkuste se zeptat Komunita Power BI