Konfigurer Kerberos til at bruge Power BI-rapporter
Se, hvordan du kan konfigurere din rapportserver til Kerberos-godkendelse af datakilder, der bruges i dine Power BI-rapporter, for et distribueret miljø.
Bemærk
Denne video bruger muligvis tidligere versioner af Power BI-rapportserver.
Power BI-rapportserver omfatter muligheden for at hoste Power BI-rapporter. Mange forskellige datakilder understøttes af rapportserveren. Mens denne artikel fokuserer specifikt på SQL Server Analysis Services, kan du bruge koncepterne og anvende dem på andre datakilder, f.eks. SQL Server.
Du kan installere Power BI-rapportserver, SQL Server og Analysis Services på én enkelt computer, og alt bør fungere uden yderligere konfiguration. Dette er godt i et testmiljø. Du kan støde på fejl, hvis du har disse tjenester installeret på separate computere, hvilket kaldes for et distribueret miljø. I dette miljø er du nødt til at bruge Kerberos-godkendelse. Der kræves konfiguration for at implementere dette.
Specifikt skal du konfigurere begrænset delegering. Du har muligvis konfigureret Kerberos i dit miljø, men det er muligvis ikke konfigureret til begrænset delegering.
Der opstod en fejl under kørsel af rapporten
Hvis din rapportserver ikke er konfigureret korrekt, kan du få følgende fejl.
Something went wrong.
We couldn't run the report because we couldn't connect to its data source. The report or data source might not be configured correctly.
Du får vist følgende meddelelse under Tekniske detaljer.
We couldn't connect to the Analysis Services server. The server forcibly closed the connection. To connect as the user viewing the report, your organization must have configured Kerberos constrained delegation.
Konfiguration af Kerberos til begrænset delegering
Der er flere elementer, der skal konfigureres, for at begrænset delegering med Kerberos kan fungere. Dette omfatter tjenestens hovednavn (SPN) og delegering af indstillinger på tjenestekonti.
Bemærk
Du skal være domæneadministrator for at konfigurere SPN'er og delegeringsindstillinger.
Vi er stadig nødt til at konfigurere eller validere følgende.
- Godkendelsestype i konfigurationen af rapportserveren.
- SPN'er for kontoen til rapportservertjenesten.
- SPN'er for Analysis Services-tjenesten.
- SPN'er for SQL Browser-tjenesten på Analysis Services-computeren. Dette er kun for navngivne forekomster.
- Delegeringsindstillinger på kontoen til rapportservertjenesten.
Godkendelsestype i konfigurationen af rapportserveren
Vi er nødt til at konfigurere godkendelsestypen for rapportserveren til at tillade begrænset delegering for Kerberos. Dette gøres i rsreportserver.config-filen. Standardplaceringen for denne fil er C:\Program Files\Microsoft Power BI Report Server\PBIRS\ReportServer.
I filen rsreportserver.config skal du finde sektionen Authentication/AuthenticationTypes.
Vi vil gerne sikre os, at RSWindowsNegotiate er angivet, og at det er det første på listen over godkendelsestyper. Det skal se nogenlunde ud som følgende.
<AuthenticationTypes>
<RSWindowsNegotiate/>
<RSWindowsNTLM/>
</AuthenticationTypes>
Hvis blev nødt til at ændre konfigurationsfilen, skal du stoppe og starte rapportserveren for at sikre, at ændringerne træder i kraft.
Du kan få mere at vide i Konfigurer Windows-godkendelse på rapportserveren.
SPN'er for kontoen til rapportservertjenesten
Dernæst skal vi sikre, at rapportserveren har gyldige SPN'er tilgængelige. Dette er baseret på den tjenestekonto, som er konfigureret for rapportserveren.
Virtuel tjenestekonto eller netværkstjeneste
Hvis din rapportserver er konfigureret til den virtuelle tjenestekonto eller netværkstjenestekontoen, skal du ikke foretage dig noget. Disse er i computerkontoens kontekst. Computerkontoen får VÆRTS-SPN'er som standard. Disse dækker HTTP-tjenesten og bruges af rapportserveren.
Hvis du bruger et virtuelt servernavn, et, som ikke er det samme som computerkontoen, dækkes du ikke af VÆRT-posterne, og du skal manuelt tilføje SPN'er for værtsnavnet for den virtuelle server.
Domænebrugerkonto
Hvis din rapportserver er konfigureret til at bruge en domænebrugerkonto, skal du manuelt oprette HTTP-SPN'er på den pågældende konto. Dette kan gøres ved hjælp af værktøjet setspn, som følger med til Windows.
Bemærk
Du skal bruge domæneadministratorrettigheder for at kunne oprette SPN.
Det anbefales at oprette to SPN'er. Et med NetBIOS-navnet og et andet med det fulde domænenavn (FQDN). SPN er i følgende format.
<Service>/<Host>:<port>
Power BI-rapportserver bruger HTTP som tjeneste. For HTTP-SPN'er skal du ikke angive en port. Tjenesten, vi er interesseret i her, er HTTP. Værten for SPN bliver det navn, du bruger i en webadresse. Dette er normalt computernavnet. Hvis du har installeret en belastningsjustering, kan dette være et virtuelt navn.
Bemærk
Du kan bekræfte webadressen ved enten at se på, hvad du angiver i adresselinjen i browseren, eller ved at se i Report Server Configuration Manager (konfigurationsstyring for rapportserver) på fanen Web Portal URL (Webadresse til webportal).
Hvis computernavnet er ContosoRS, vil dine SPN'er være følgende.
| SPN-type | SPN |
|---|---|
| Fuldt domænenavn (FQDN) | HTTP/ContosoRS.contoso.com |
| NetBIOS | HTTP/ContosoRS |
Placering af SPN
Hvor vil du så sætte dit SPN? SPN placeres på det, du bruger til din tjenestekonto. Hvis du bruger virtuel tjenestekonto eller netværkstjenestekonto, vil det være computerkontoen. Selvom vi før har nævnt, at du kun behøver at gøre dette for en virtuel webadresse. Hvis du bruger en domænebruger til kontoen til rapporttjenestekontoen, skal du placere SPN på denne domænebrugerkonto.
Hvis vi f.eks. bruger netværkstjenestekontoen, og vores computernavn er ContosoRS, placerer vi SPN på ContosoRS.
Hvis vi bruger domænebrugerkontoen RSService, placerer vi SPN på RSService.
Brug af SetSPN til at tilføje SPN
Vi kan bruge værktøjet SetSPN til at tilføje SPN. Vi følger det samme eksempel som ovenfor med computerkontoen og domænebrugerkontoen.
Hvis SPN placeres på en computerkonto for både FQDN og NetBIOS-SPN, vil det ligne følgende, hvis vi har brugt den virtuelle webadresse contosoreports.
Setspn -a HTTP/contosoreports.contoso.com ContosoRS
Setspn -a HTTP/contosoreports ContosoRS
Hvis SPN placeres på en domænebrugerkonto for både FQDN og NetBIOS-SPN, vil det ligne følgende, hvis vi har brugt computernavnet til værten for SPN.
Setspn -a HTTP/ContosoRS.contoso.com RSService
Setspn -a HTTP/ContosoRS RSService
SPN'er for Analysis Services-tjenesten
SPN'er for Analysis Services minder om det, vi gjorde med Power BI-rapportserver. Formatet for SPN er lidt anderledes, hvis du har en navngiven forekomst.
Vi kan bruge MSOLAPSvc.3 som tjeneste til Analysis Services. Vi angiver navnet på forekomsten som portplacering på SPN. Værtsdelen af SPN bliver enten computernavnet eller det virtuelle klyngenavn.
Et eksempel på et Analysis Services-SPN kan se ud som følger.
| Type | Formatér |
|---|---|
| Standardforekomst | MSOLAPSvc.3/ContosoAS.contoso.com MSOLAPSvc.3/ContosoAS |
| Navngiven forekomst | MSOLAPSvc.3/ContosoAS.contoso.com:FOREKOMSTNAVN MSOLAPSvc.3/ContosoAS:FOREKOMSTNAVN |
Placeringen af SPN minder også om det, der er nævnt for Power BI-rapportserver. Det er baseret på tjenestekontoen. Hvis du bruger lokalt system eller netværkstjeneste, er du i computerkontoens kontekst. Hvis du bruger en domænebrugerkonto til Analysis Services-forekomsten, skal du placere SPN på domænebrugerkontoen.
Brug af SetSPN til at tilføje SPN
Vi kan bruge værktøjet SetSPN til at tilføje SPN. I dette eksempel er computernavnet ContosoAS.
Hvis SPN placeres på en computerkonto, vil det se ud som følger for både FQDN og NetBIOS-SPN.
Setspn -a MSOLAPSvc.3/ContosoAS.contoso.com ContosoAS
Setspn -a MSOLAPSvc.3/ContosoAS ContosoAS
Hvis SPN placeres på en domænebrugerkonto, vil det se ud som følger for både FQDN og NetBIOS-SPN.
Setspn -a MSOLAPSvc.3/ContosoAS.contoso.com OLAPService
Setspn -a MSOLAPSvc.3/ContosoAS OLAPService
SPN'er for SQL Browser-tjenesten
Hvis du har en navngiven Analysis Services-forekomst, skal du også at sikre dig, at du har et SPN for browsertjenesten. Dette er unikt for Analysis Services.
SPN'er for SQL Browser minder om det, vi gjorde med Power BI-rapportserver.
Til SQL Browser bruger vi MSOLAPDisco.3 som tjeneste. Vi angiver navnet på forekomsten som portplacering på SPN. Værtsdelen af SPN bliver enten computernavnet eller det virtuelle klyngenavn. Du behøver ikke at angive noget for forekomstnavn eller port.
Et eksempel på et Analysis Services-SPN kan se ud som følger.
MSOLAPDisco.3/ContosoAS.contoso.com
MSOLAPDisco.3/ContosoAS
Placeringen af SPN minder også om det, der er nævnt for Power BI-rapportserver. Forskellen er, at SQL Browser altid kører under den lokale systemkonto. Det betyder, at SPN'er altid går på computerkontoen.
Brug af SetSPN til at tilføje SPN
Vi kan bruge værktøjet SetSPN til at tilføje SPN. I dette eksempel er computernavnet ContosoAS.
Hvis SPN placeres på en computerkonto, vil det se ud som følger for både FQDN og NetBIOS-SPN.
Setspn -a MSOLAPDisco.3/ContosoAS.contoso.com ContosoAS
Setspn -a MSOLAPDisco.3/ContosoAS ContosoAS
Du kan få mere at vide i Der kræves et SPN til SQL Server Browser-tjenesten.
Delegeringsindstillinger på kontoen til rapportservertjenesten
Det sidste, vi skal konfigurere, er delegeringsindstillinger på kontoen til rapportservertjenesten. Der er forskellige værktøjer, som kan bruges til at udføre disse trin. I dette dokument holder vi os til Active Directory-brugere og -computere.
Du skal starte med at gå til egenskaberne for kontoen til rapporttjenesten i Active Directory-brugere og -computere. Det vil være computerkontoen, hvis du har brugt den virtuelle tjenestekonto eller netværkstjeneste, eller også er det en domænebrugerkonto.
Vi vil konfigurere begrænset delegering med protokoltransitering. Med begrænset delegering skal du være eksplicit med, hvilke tjenester, vi vil uddelegere til. Vi går ind og føjer både Analysis Services-tjenestens SPN og SQL Browser-SPN til listen, som Power BI-rapportserver kan uddelegere til.
Højreklik på kontoen til rapportservertjenesten, og vælg Egenskaber.
Vælg fanen Delegering.
Vælg Hav kun tillid til denne computer i forbindelse med uddelegering til de angivne tjenester.
Vælg Brug enhver godkendelsesprotokol.
Under Tjenester, som denne konto kan give uddelegerede legitimationsoplysninger: skal du vælge Tilføj.
I den nye dialogboks skal du vælge Brugere eller computere.
Angiv tjenestekontoen for Analysis Services-tjenesten, og vælg Ok.
Vælg det SPN, du har oprettet. Det starter med
MSOLAPSvc.3. Hvis du har tilføjet både det fulde domænenavn (FQDN) NetBIOS-SPN, vælges begge dele. Du får muligvis kun vist et.Vælg OK. Du bør nu kunne se SPN'et på listen.
Du kan vælge Udvidet, hvis du vil vise både FQDN og NetBIOS-SPN på listen.
Vælg Tilføj igen. Nu tilføjer vi SQL Browser-SPN.
I den nye dialogboks skal du vælge Brugere eller computere.
Angiv computernavnet på den computer, som SQL Browser-tjenesten findes på, og vælg Ok.
Vælg det SPN, du har oprettet. Det starter med
MSOLAPDisco.3. Hvis du har tilføjet både det fulde domænenavn (FQDN) NetBIOS-SPN, vælges begge dele. Du får muligvis kun vist det ene.Vælg OK. Dialogboksen ligner følgende, hvis du har valgt Udvidet.
Vælg OK.
Genstart Power BI-rapportserver.
Kørsel af en Power BI-rapport
Når al den ovenstående konfiguration er på plads, bør din rapport blive vist korrekt.
Mens denne konfiguration bør fungere i de fleste tilfælde, kan der med Kerberos være en anden konfiguration afhængigt af dit miljø. Hvis rapporten stadig ikke indlæses, skal du kontakte din domæneadministrator for at få undersøgt det nærmere, eller du kan kontakte support.
Næste trin
Administratoroversigt
Installer Power BI-rapportserver
Har du flere spørgsmål? Prøv at spørge Power BI-community'et