Ausführliche Informationen zu On-premises data gatewayOn-premises data gateway in-depth

Benutzer in Ihrer Organisation können auf lokale Daten zugreifen (für die sie bereits über Zugriffsberechtigungen verfügen). Bevor diese Benutzer jedoch eine Verbindung mit der lokalen Datenquelle herstellen können, muss ein lokales Datengateway installiert und konfiguriert werden.It's possible for users in your organization to access on-premises data (to which they already have access authorization), but before those users can connect to your on-premises data source, an on-premises data gateway needs to be installed and configured. Das Gateway ermöglicht die schnelle und sichere, im Hintergrund ablaufende Kommunikation eines Benutzers in der Cloud mit Ihrer lokalen Datenquelle und zurück in die Cloud.The gateway facilitates quick and secure behind-the-scenes communication between a user in the cloud, to your on-premises data source, and then back to the cloud.

Das Installieren und Konfigurieren eines Gateways wird normalerweise von einem Administrator vorgenommen.Installing and configuring a gateway is usually done by an administrator. Dazu sind möglicherweise fundierte Kenntnisse Ihrer lokalen Server und in bestimmten Fällen auch Serveradministratorberechtigungen erforderlich.It may require special knowledge of your on-premises servers and in some cases may require Server Administrator permissions.

In diesem Artikel erhalten Sie keine schrittweise Anleitung zum Installieren und Konfigurieren des Gateways.This article doesn’t provide step-by-step guidance on how to install and configure the gateway. Lesen Sie zu diesem Thema unbedingt den Artikel Lokales Datengateway.For that, be sure to see On-premises data gateway. Ziel dieses Artikels ist es, Ihnen einen detaillierten Einblick in die Funktionsweise des Gateways zu vermitteln.This article is meant to provide you with an in-depth understanding of how the gateway works. Es werden Benutzernamen und Sicherheitsaspekte sowohl bei Azure Active Directory als auch bei Analysis Services etwas erörtert. Außerdem wird besprochen, wie der Clouddienst die für die Anmeldung erforderliche E-Mail-Adresse, das Gateway und Active Directory nutzt, um eine sichere Verbindung mit Ihren lokalen Daten herzustellen und diese sicher abzufragen.We’ll also go into some detail about usernames and security in both Azure Active Directory and Analysis Services, and how the cloud service uses the e-mail address a user sign in with, the gateway, and Active Directory to securely connect to and query your on-premises data.

So funktioniert das GatewayHow the gateway works

So-funktioniert-das-lokale-datengateway

Sehen wir uns zunächst an, was geschieht, wenn ein Benutzer mit einem Element interagiert, das mit einer lokalen Datenquelle verbunden ist.Let’s first look at what happens when a user interacts with an element connected to an on-premises data source.

Hinweis

Für Power BI müssen Sie eine Datenquelle für das Gateway konfigurieren.For Power BI, you will need to configure a data source for the gateway.

  1. Eine Abfrage wird vom Clouddienst zusammen mit den verschlüsselten Anmeldeinformationen für die lokale Datenquelle erstellt und an die Warteschlange für die Bearbeitung durch das Gateway gesendet.A query will be created by the cloud service, along with the encrypted credentials for the on-premises data source, and sent to the queue for the gateway to process.
  2. Die Abfrage wird daraufhin vom Gatewayclouddienst analysiert und die Anforderung mithilfe von Push an Azure Service Bus übertragen.The gateway cloud service will analyze the query and will push the request to the Azure Service Bus.
  3. Das On-premises data gateway fragt Azure Service Bus für ausstehende Anfragen ab.The on-premises data gateway polls the Azure Service Bus for pending requests.
  4. Das Gateway ruft die Abfrage ab, entschlüsselt die Anmeldeinformationen und stellt unter Verwendung dieser Anmeldeinformationen eine Verbindung mit der Datenquelle bzw. den Datenquellen her.The gateway gets the query, decrypts the credentials and connects to the data source(s) with those credentials.
  5. Das Gateway sendet die Abfrage zur Ausführung an die Datenquelle.The gateway sends the query to the data source for execution.
  6. Die Ergebnisse werden von der Datenquelle zurück an das Gateway und anschließend weiter an den Clouddienst gesendet.The results are sent from the data source, back to the gateway, and then onto the cloud service. Der Dienst verwendet dann die Ergebnisse.The service then uses the results.

Liste der verfügbaren DatenquellentypenList of available data source types

DatenquelleData source Live/DirectQueryLive/DirectQuery Benutzerdefinierte manuelle oder geplante AktualisierungUser configured manual or scheduled refresh
Analysis Services (tabellarisch)Analysis Services Tabular JaYes JaYes
Analysis Services (mehrdimensional)Analysis Services Multidimensional JaYes JaYes
DateiFile NeinNo JaYes
OrdnerFolder NeinNo JaYes
IBM DB2IBM DB2 NeinNo JaYes
IBM Informix-DatenbankIBM Informix Database NeinNo JaYes
ImpalaImpala JaYes JaYes
MySQLMySQL NeinNo JaYes
ODataOData NeinNo JaYes
ODBCODBC NeinNo JaYes
OledbOledb NeinNo JaYes
OracleOracle JaYes JaYes
PostgresSQLPostgresSQL NeinNo JaYes
SAP BWSAP BW JaYes JaYes
SAP HANASAP HANA JaYes JaYes
SharePoint-Liste (lokal)SharePoint list (on-premises) NeinNo JaYes
SnowflakeSnowflake JaYes JaYes
SQL ServerSQL Server JaYes JaYes
SybaseSybase NeinNo JaYes
TeradataTeradata JaYes JaYes
WebWeb NeinNo JaYes

Das AnmeldekontoSign in account

Benutzer melden sich entweder mit einem Geschäfts-, Schul- oder Unikonto an.Users will sign in with either a work or school account. Dies ist das Konto Ihrer Organisation.This is your organization account. Wenn Sie sich für ein Office 365-Angebot registriert haben und nicht Ihre tatsächliche geschäftliche E-Mail-Adresse angegeben haben, könnte es wie „nancy@contoso.onmicrosoft.com“ aussehen. Ihr Konto wird innerhalb eines Clouddiensts in einem Mandanten in Azure Active Directory (AAD) gespeichert.If you signed up for an Office 365 offering and didn’t supply your actual work email, it may look like nancy@contoso.onmicrosoft.com. Your account, within a cloud service, is stored within a tenant in Azure Active Directory (AAD). In den meisten Fällen entspricht der UPN Ihres AAD-Kontos der E-Mail-Adresse.In most cases, your AAD account’s UPN will match the email address.

Authentifizierung gegenüber lokalen DatenquellenAuthentication to on-premises data sources

Für die Verbindung vom Gateway aus zu lokalen Datenquellen, mit Ausnahme von Analysis Services, werden gespeicherte Anmeldeinformationen verwendet.A stored credential will be used to connect to on-premises data sources from the gateway except Analysis Services. Das Gateway verwendet die gespeicherten Anmeldeinformationen bei allen Benutzern zur Verbindungsherstellung.Regardless of the individual user, the gateway uses the stored credential to connect.

Authentifizierung gegenüber einer Analysis Services-LivedatenquelleAuthentication to a live Analysis Services data source

Bei jeder Interaktion eines Benutzers mit Analysis Services, wird der effektive Benutzername an das Gateway und von dort aus an Ihren lokalen Analysis Services-Server übergeben.Each time a user interacts with Analysis Services, the effective username is passed to the gateway and then onto your on-premises Analysis Services server. Als effektiver Benutzer wird der Benutzerprinzipalname (user principal name; UPN) – üblicherweise die E-Mail-Adresse, mit der Sie sich in der Cloud anmelden – an Analysis Services übergeben.The user principal name (UPN), typically the email address you sign into the cloud with, is what we will pass to Analysis Services as the effective user. Der UPN wird in der Verbindungseigenschaft „EffectiveUserName“ übergeben.The UPN is passed in the connection property EffectiveUserName. Diese E-Mail-Adresse muss mit einem in der lokalen Active Directory-Domäne definierten UPN übereinstimmen.This email address should match a defined UPN within the local Active Directory domain. Der UPN ist eine Eigenschaft des Active Directory-Kontos.The UPN is a property of an Active Directory account. Das Windows-Konto muss dann in einer Analysis Services-Rolle vorhanden sein, um Zugriff auf den Server zu erhalten.That Windows account then needs to be present in an Analysis Services role to have access to the server. Die Anmeldung wird nicht erfolgreich durchgeführt, wenn in Active Directory keine Übereinstimmung gefunden werden kann.The login will not be successful if no match is found in Active Directory.

Analysis Services kann darüber hinaus eine Filterfunktion basierend auf diesem Konto bereitstellen.Analysis Services can also provide filtering based on this account. Es kann sowohl auf Grundlage eines rollenbasierten Sicherheitsmodells als auch auf Grundlage eines Sicherheitsmodells auf Zeilenebene gefiltert werden.The filtering can occur with either role based security, or row-level security.

Rollenbasierte SicherheitRole-based security

Modelle stellen Sicherheit auf der Grundlage von Benutzerrollen bereit.Models provide security based on user roles. Rollen werden für ein bestimmtes Modellprojekt während der Erstellung in den SQL Server Data Tools – Business Intelligence (SSDT-BI) oder nach der Bereitstellung des Modells mithilfe von SQL Server Management Studio (SSMS) definiert.Roles are defined for a particular model project during authoring in SQL Server Data Tools – Business Intelligence (SSDT-BI), or after a model is deployed, by using SQL Server Management Studio (SSMS). Rollen enthalten Mitglieder, die anhand ihres Windows-Benutzernamens oder ihrer Windows-Gruppe angegeben sind.Roles contain members by Windows username or by Windows group. Rollen definieren die Berechtigungen eines Benutzers zu Abfragen oder Aktionen im Modell.Roles define permissions a user has to query or perform actions on the model. In der Praxis werden die meisten Benutzer einer Rolle mit Leseberechtigungen angehören.Most users will belong to a role with Read permissions. Andere Rollen sind für Administratoren mit der Berechtigung zum Verarbeiten von Elementen, Verwalten von Datenbankfunktionen und Verwalten anderer Rollen vorgesehen.Other roles are meant for administrators with permissions to process items, manage database functions, and manage other roles.

Sicherheit auf ZeilenebeneRow-level security

Sicherheit auf Zeilenebene ist eine für Analysis Services charakteristische Funktion.Row-level security is specific to Analysis Services row-level security. Modelle können dynamische Sicherheitseinstellungen auf Zeilenebene bereitstellen.Models can provide dynamic, row-level security. Im Gegensatz zu Rollen, von denen mindestens eine erforderlich ist, die Benutzer enthält, ist dynamische Sicherheit für tabellarische Modelle grundsätzlich nicht erforderlich.Unlike having at least one role in which users belong to, dynamic security is not required for any tabular model. Allgemein ausgedrückt definiert dynamische Sicherheit den Lesezugriff eines Benutzers auf Daten bis hinunter zu einer bestimmten Zeile in einer bestimmten Tabelle.At a high-level, dynamic security defines a user’s read access to data right down to a particular row in a particular table. Ähnlich wie Rollen beruht dynamische Sicherheit auf Zeilenebene auf den Windows-Benutzernamen von Benutzern.Similar to roles, dynamic row-level security relies on a user’s Windows username.

Die Berechtigung eines Benutzers, Daten des Modells abzufragen und anzuzeigen, wird erstens durch die Rollen bestimmt, deren Mitglied sein Windows-Benutzerkonto ist, und zweitens durch die dynamische Sicherheit auf Zeilenebene, sofern sie konfiguriert ist.A user’s ability to query and view model data are determined first by the roles their Windows user account are a member of and second, by dynamic row-level security, if configured.

Das Implementieren von rollenbasierter Sicherheit und dynamischer Sicherheit auf Zeilenebene in Modellen würde den Rahmen dieses Artikels sprengen.Implementing role and dynamic row-level security in models are beyond the scope of this article. Weitere Informationen finden Sie unter Rollen (SSAS – tabellarisch) und Sicherheitsrollen (Analysis Services – mehrdimensionale Daten) auf MSDN.You can learn more at Roles (SSAS Tabular) and Security Roles (Analysis Services - Multidimensional Data) on MSDN. Eine besonders fundierte Darstellung der Sicherheit in tabellarischen Modellen finden Sie im Whitepaper Securing the Tabular BI Semantic Model (Sichern des semantischen BI-Tabellenmodells).And, for the most in-depth understanding of tabular model security, download and read the Securing the Tabular BI Semantic Model whitepaper.

Welche Rolle spielt Azure Active Directory?What about Azure Active Directory?

Die Clouddienste von Microsoft verwenden Azure Active Directory für die Authentifizierung von Benutzern.Microsoft cloud services use Azure Active Directory to take care of authenticating users. Azure Active Directory ist der Mandant, der die Benutzernamen und Sicherheitsgruppen enthält.Azure Active Directory is the tenant that contains usernames and security groups. In der Regel entspricht die E-Mail-Adresse, mit der sich ein Benutzer anmeldet, dem UPN des Kontos.Typically, the email address a user signs in with is the same as the UPN of the account.

Welcher Rolle gehört mein lokales Active Directory an?What is my local Active Directory’s role?

Damit Analysis Services bestimmen kann, ob ein Benutzer, der eine Verbindung mit ihm herstellt, einer Rolle angehört, die über Berechtigungen zum Lesen von Daten verfügt, muss der Server den von AAD an das Gateway und an den Analysis Services-Server übergebenen effektiven Benutzernamen konvertieren.For Analysis Services to determine if a user connecting to it belongs to a role with permissions to read data, the server needs to convert the effective username passed from AAD to the gateway, and onto the Analysis Services server. Der Analysis Services-Server übergibt den effektiven Benutzernamen an einen Windows Active Directory-Domänencontroller (DC).The Analysis Services server passes the effective username to a Windows Active Directory domain controller (DC). Der Active Directory-DC überprüft dann, ob der effektive Benutzername ein gültiger UPN ist, und gibt den Windows-Benutzernamen des betreffenden Benutzers an den Analysis Services-Server zurück.The Active Directory DC then validates the effective username is a valid UPN, on a local account, and returns that user’s Windows username back to the Analysis Services server.

EffectiveUserName kann nicht auf einem Analysis Services-Server verwendet werden, der nicht mit der Domäne verknüpft ist.EffectiveUserName cannot be used on a non-domain joined Analysis Services server. Der Analysis Services-Server muss einer Domäne angehören, um Anmeldefehler zu vermeiden.The Analysis Services server must be joined to a domain to avoid any login errors.

Woher weiß ich meinen UPN?How do I tell what my UPN is?

Sie kennen möglicherweise nicht Ihren UPN und sind auch kein Domänenadministrator.You may not know what your UPN is, and you may not be a domain administrator. Sie können den folgenden Befehl von Ihrer Arbeitsstation ausführen, um den UPN für Ihr Konto zu ermitteln.You can use the following command from your workstation to find out the UPN for your account.

whoami /upn

Das Ergebnis ähnelt einer E-Mail-Adresse, es handelt sich aber um den UPN für Ihr lokales Domänenkonto.The result will look similar to an email address, but this is the UPN that is on your local domain account. Wenn Sie eine Analysis Services-Datenquelle für Liveverbindungen verwenden, muss diese mit der vom Gateway an EffectiveUserName übergebenen übereinstimmen.If you are using an Analysis Services data source for live connections, this must match what was passed to EffectiveUserName from the gateway.

Zuordnen von Benutzernamen zu Analysis Services-DatenquellenMapping usernames for Analysis Services data sources

Power BI ermöglicht die Zuordnung von Benutzernamen zu Analysis Services-Datenquellen.Power BI allows for mapping usernames for Analysis Services data sources. Sie können Regeln konfigurieren, um einen in Power BI angemeldeten Benutzernamen einem Namen zuzuordnen, der in EffectiveUserName über die Analysis Services-Verbindung übergeben wird.You can configure rules to map a username logged in with Power BI to a name that is passed for EffectiveUserName on the Analysis Services connection. Diese Funktion zur Zuordnung von Benutzernamen ist eine hervorragende Möglichkeit, das Problem zu umgehen, wenn Ihr Benutzername für AAD nicht mit einem UPN in Ihrem lokalen Active Directory übereinstimmt.The map user names feature is a great way to work around when your username in AAD doesn't match a UPN in your local Active Directory. Wenn Ihre E-Mail-Adresse beispielsweise nancy@contoso.onmicrsoft.com lautet, könnten Sie diese nancy@contoso.com zuordnen. Dieser Wert würde dann an das Gateway übergeben.For example, if your email address is nancy@contoso.onmicrsoft.com, you could map it to nancy@contoso.com, and that value would be passed to the gateway. Erfahren Sie mehr über das Zuordnen von Benutzernamen.You can learn more about how to map user names.

Synchronisieren eines lokalen Active Directorys mit Azure Active DirectorySynchronize an on-premises Active Directory with Azure Active Directory

Ihre lokalen Active Directory-Konten sollten denen in Azure Active Directory entsprechen, wenn Sie planen, Analysis Services-Liveverbindungen zu verwenden.You would want your local Active Directory accounts to match Azure Active Directory if you are going to be using Analysis Services live connections. Ebenso wie der UPN der Konten übereinstimmen muss.As the UPN has to match between the accounts.

Die Clouddienste haben nur Kenntnis von Konten in Azure Active Directory.The cloud services only know about accounts within Azure Active Directory. Es spielt keine Rolle, wenn Sie ein Konto in Ihrem lokalen Active Directory hinzufügen. Wenn es in AAD nicht vorhanden ist, kann es nicht verwendet werden.It doesn’t matter if you added an account in your local Active Directory, if it doesn’t exist in AAD, it cannot be used. Es gibt verschiedene Möglichkeiten, Ihre lokalen Active Directory-Konten mit Azure Active Directory abzugleichen.There are different ways that you can match your local Active Directory accounts with Azure Active Directory.

  1. Sie können Konten in Azure Active Directory manuell hinzufügen.You can add accounts manually to Azure Active Directory.

    Sie können im Azure-Portal oder im Office 365 Admin Portal ein Konto erstellen, bei dem der Kontoname dem UPN des lokalen Active Directory-Kontos entspricht.You can create an account on the Azure portal, or within the Office 365 Admin Portal, and the account name matches the UPN of the local Active Directory account.

  2. Sie können das Azure AD Connect-Tool verwenden, um lokale Konten mit Ihrem Azure Active Directory-Mandanten zu synchronisieren.You can use the Azure AD Connect tool to synchronize local accounts to your Azure Active Directory tenant.

    Das Azure AD Connect-Tool stellt Optionen für die Synchronisierung des Verzeichnisses und des Kennworts bereit.The Azure AD Connect tool provides options for directory and password synchronization. Wenn Sie weder ein Mandantenadministrator noch ein lokaler Domänenadministrator sind, müssen Sie sich für diese Konfiguration an Ihren IT-Administrator wenden.If you are not a tenant admin or a local domain administrator, you will need to contact your IT admin to get this configured.

  3. Sie können Active Directory-Verbunddienste (Active Directory Federation Services; AD FS) konfigurieren.You can configure Active Directory Federation Services (ADFS).

    Sie können den AD FS-Server mithilfe des Azure AD Connect-Tools Ihrem AAD-Mandanten zuordnen.You can associate your ADFS server to your AAD tenant with the Azure AD Connect tool. AD FS verwendet die zuvor erwähnte Verzeichnissynchronisierung, erlaubt aber auch das einmalige Anmelden (Single Sign-On; SSO).ADFS makes use of the directory synchronization discussed above but allows for a single sign-on (SSO) experience. Wenn Sie sich beispielsweise in Ihrem Arbeitsplatznetzwerk befinden und sich bei einem Clouddienst anmelden möchten, werden Sie möglicherweise nicht dazu aufgefordert, Ihren Benutzernamen oder Ihr Kennwort einzugeben.For example, if you are within your work network, when you to a cloud service, and go to sign in, you may not be prompted to enter a username or password. Sie müssen mit Ihrem IT-Administrator besprechen, ob diese Funktion für Ihre Organisation verfügbar ist.You will need to discuss with your IT Admin if this is available for your organization.

Mit Azure AD Connect können Sie sicherstellen, dass der UPN Ihres AAD-Kontos und der Ihres lokalen Active Directory-Kontos übereinstimmen.Using Azure AD Connect ensures that the UPN will match between AAD and your local Active Directory.

Hinweis

Das Synchronisieren von Konten mithilfe des Azure AD Connect-Tools erstellt neue Konten in Ihrem AAD-Mandanten.Synchronizing accounts with the Azure AD Connect tool will create new accounts within your AAD tenant.

Das GatewayNow, this is where the gateway comes in

Das Gateway fungiert als Brücke zwischen der Cloud und Ihrem lokalen Server.The gateway acts as a bridge between the cloud and your on-premises server. Die Datenübertragung zwischen der Cloud und dem Gateway ist mithilfe des Azure Service Bus geschützt.Data transfer between the cloud and the gateway is secured through Azure Service Bus. Der Service Bus erstellt einen sicheren Kanal zwischen der Cloud und Ihrem lokalen Server über eine ausgehende Verbindung auf dem Gateway.The Service Bus creates a secure channel between the cloud and your on-premises server through an outbound connection on the gateway. Sie müssen dazu keine eingehenden Verbindungen in Ihrer lokalen Firewall zulassen.There are no inbound connections that you need to open on your on-premises firewall.

Wenn Sie über eine Analysis Services-Datenquelle verfügen, müssen Sie das Gateway auf einem Computer installieren, der der gleichen Gesamtstruktur oder Domäne wie der Analysis Services-Server angehört.If you have an Analysis Services data source, you’ll need to install the gateway on a computer joined to the same forest/domain as your Analysis Services server.

Je kürzer die Entfernung zwischen Gateway und Server, desto schneller ist die Verbindung.The closer the gateway is to the server, the faster the connection will be. Eine Netzwerklatenz zwischen Gateway und Server lässt sich am besten vermeiden, indem das Gateway auf dem gleichen Server wie die Datenquelle installiert wird.If you can get the gateway on the same server as the data source, that is best to avoid network latency between the gateway and the server.

Nächste SchritteWhat to do next?

Nachdem Sie das Gateway installiert haben, sollten Sie die Datenquellen für dieses Gateway erstellen.After you get the gateway installed, you will want to create data sources for that gateway. Sie können Datenquellen im Bildschirm Gateways verwalten hinzufügen.You can add data sources within the Manage gateways screen. Weitere Informationen finden Sie in den Artikeln zum Verwalten von Datenquellen.For more information, see the manage data sources articles.

Verwalten Ihrer Datenquelle – Analysis ServicesManage your data source - Analysis Services
Verwalten Ihrer Datenquelle –SAP HANAManage your data source - SAP HANA
Verwalten Ihrer Datenquelle – SQL ServerManage your data source - SQL Server
Verwalten der Datenquelle – OracleManage your data source - Oracle
Verwalten der Datenquelle – Import/Geplante AktualisierungManage your data source - Import/Scheduled refresh

An welchen Stellen etwas schief gehen kannWhere things can go wrong

Manchmal tritt beim Installieren des Gateways ein Fehler auf.Sometimes installing the gateway fails. Oder aber die Installation des Gateways scheint erfolgreich verlaufen zu sein, und der Dienst kann es trotzdem nicht verwenden.Or, maybe the gateway seems to install ok, but the service is still unable to work with it. Oft hat das Problem eine ganz einfache Ursache, z. B. das Kennwort für die Anmeldeinformationen, mit denen das Gateway bei der Datenquelle angemeldet wird.In many cases, it’s something simple, like the password for the credentials the gateway uses to sign into the data source.

In anderen Fällen können Probleme mit dem E-Mail-Adresstyp auftreten, den Benutzer für die Anmeldung verwenden, oder Analysis Services kann einen effektiven Benutzernamen nicht auflösen.In other cases, there might be issues with the type of e-mail address users sign in with, or Analysis Services’ inability to resolve an effective username. Wenn Sie über mehrere Domänen mit eingerichteten Vertrauensstellungen verfügen und ihr Gateway sich in der einen, Analysis Services sich aber in einer anderen befindet, kann das manchmal zu Problemen führen.If you have multiple domains with trusts between them, and your gateway is in one and Analysis Services in another, this sometimes can cause some problems.

Anstatt hier ausführlich auf die Behandlung von Gatewayproblemen einzugehen, haben wir eine Reihe von Tipps zur Problembehandlung im Artikel Problembehandlung beim lokalen Datengateway zusammengestellt.Rather than go into troubleshooting gateway issues here, we’ve put a series of troubleshooting steps into another article; Troubleshooting the on-premises data gateway. Hoffentlich treten bei Ihnen keine Probleme auf.Hopefully, you won’t have any problems. Falls aber doch, sollte Ihr Verständnis dieser Zusammenhänge in Verbindung mit dem Artikel zur Problembehandlung weiterhelfen.But if you do, understanding how all of this works and the troubleshooting article should help.

Das AnmeldekontoSign in account

Benutzer melden sich entweder mit einem Geschäfts-, Schul- oder Unikonto an.Users will sign in with either a work or school account. Dies ist das Konto Ihrer Organisation.This is your organization account. Wenn Sie sich für ein Office 365-Angebot registriert haben und nicht Ihre tatsächliche geschäftliche E-Mail-Adresse angegeben haben, könnte es wie „nancy@contoso.onmicrosoft.com“ aussehen. Ihr Konto wird innerhalb eines Clouddiensts in einem Mandanten in Azure Active Directory (AAD) gespeichert.If you signed up for an Office 365 offering and didn’t supply your actual work email, it may look like nancy@contoso.onmicrosoft.com. Your account, within a cloud service, is stored within a tenant in Azure Active Directory (AAD). In den meisten Fällen entspricht der UPN Ihres AAD-Kontos der E-Mail-Adresse.In most cases, your AAD account’s UPN will match the email address.

Windows-DienstkontoWindows Service account

Das lokale Datengateway ist so konfiguriert, dass als Anmeldeinformationen für den Windows-Dienst NT SERVICE\PBIEgwService verwendet wird.The on-premises data gateway is configured to use NT SERVICE\PBIEgwService for the Windows service logon credential. Das Gateway hat standardmäßig die Berechtigung „Anmelden als Dienst“.By default, it has the right of Log on as a service. Diese befindet sich im Kontext des Computers, auf dem das Gateway installiert wird.This is in the context of the machine that you are installing the gateway on.

Hinweis

Wenn Sie den persönlichen Modus ausgewählt haben, konfigurieren Sie das Windows-Dienstkonto separat.If you selected personal mode, you configure the Windows service account separately.

Dies ist nicht das Konto, das für die Verbindung mit lokalen Datenquellen verwendet wird.This is not the account used to connect to on-premises data sources. Dies ist auch nicht Ihr Geschäfts-, Schul- oder Unikonto, mit dem Sie sich bei Clouddiensten anmelden.This is also not your work or school account that you sign into cloud services with.

Wenn aufgrund der Authentifizierung Probleme beim Proxyserver auftreten, sollten Sie das Windows-Dienstkonto in ein Domänenbenutzerkonto oder verwaltetes Dienstkonto ändern.If you encounter issues with your proxy server, due to authentication, you may want to change the Windows service account to a domain user or managed service account. Erfahren Sie, wie Sie das Konto in der Proxykonfiguration ändern.You can learn how to change the account in proxy configuration.

PortsPorts

Das Gateway stellt eine ausgehende Verbindung mit Azure Service Bus her.The gateway creates an outbound connection to Azure Service Bus. Die Kommunikation erfolgt über die ausgehenden Ports TCP 443 (Standardwert), 5671, 5672, 9350 bis 9354.It communicates on outbound ports: TCP 443 (default), 5671, 5672, 9350 thru 9354. Das Gateway benötigt keine eingehenden Ports.The gateway does not require inbound ports. Weitere InformationenLearn more

Es wird empfohlen, in der Firewall die Blockierung der IP-Adressen für Ihren Datenbereich aufzuheben.It is recommended that you whitelist the IP addresses, for your data region, in your firewall. Sie können die Liste der Microsoft Azure Datacenter IP-Adressen herunterladen.You can download the Microsoft Azure Datacenter IP list. Diese Liste wird wöchentlich aktualisiert.This list is updated weekly. Das Gateway verwendet für die Kommunikation mit Azure Service Bus die IP-Adresse zusammen mit dem vollständig qualifizierten Domänennamen (Fully Qualified Domain Name, FQDN).The gateway will communicate with Azure Service Bus using the IP address along with the fully qualified domain name (FQDN). Wenn Sie für das Gateway Kommunikation per HTTPS erzwingen, verwendet das Gateway ausschließlich den FQDN, und es erfolgt keine Kommunikation mithilfe von IP-Adressen.If you are forcing the gateway to communicate using HTTPS it will strictly use FQDN only, and no communication will happen using IP addresses.

Hinweis

Die IP-Adressen in der Liste der Azure-Datacenter-IP-Adressen sind in CIDR-Notation angegeben.The IP Addresses listed in the Azure Datacenter IP list are in CIDR notation. Beispielsweise bedeutet „10.0.0.0/24“ nicht „10.0.0.0 bis 10.0.0.24“.For example, 10.0.0.0/24 does not mean 10.0.0.0 thru 10.0.0.24. Erfahren Sie mehr zur CIDR-Notation.Learn more about the CIDR notation.

Es folgt eine Liste der vollqualifizierten Domänennamen, die vom Gateway verwendet werden.Here is a listing of the fully qualified domain names used by the gateway.

DomänennamenDomain names Ausgehende PortsOutbound ports BeschreibungDescription
*.download.microsoft.com*.download.microsoft.com 8080 Zum Herunterladen des Installationsprogramms wird HTTP verwendet.HTTP used to download the installer.
*.powerbi.com*.powerbi.com 443443 HTTPSHTTPS
*.analysis.windows.net*.analysis.windows.net 443443 HTTPSHTTPS
*.login.windows.net*.login.windows.net 443443 HTTPSHTTPS
*.servicebus.windows.net*.servicebus.windows.net 5671-56725671-5672 Advanced Message Queuing Protocol (AMQP)Advanced Message Queuing Protocol (AMQP)
*.servicebus.windows.net*.servicebus.windows.net 443, 9350-9354443, 9350-9354 Listener an Service Bus Relay über TCP (erfordert 443 für Bezug des Access Control-Tokens)Listeners on Service Bus Relay over TCP (requires 443 for Access Control token acquisition)
*.frontend.clouddatahub.net*.frontend.clouddatahub.net 443443 HTTPSHTTPS
*.core.windows.net*.core.windows.net 443443 HTTPSHTTPS
login.microsoftonline.comlogin.microsoftonline.com 443443 HTTPSHTTPS
*. msftncsi.com*.msftncsi.com 443443 Wird zum Testen der Internetverbindung verwendet, wenn der Power BI-Dienst das Gateway nicht erreichen kann.Used to test internet connectivity if the gateway is unreachable by the Power BI service.
*.microsoftonline-p.com*.microsoftonline-p.com 443443 Wird abhängig von der Konfiguration für die Authentifizierung verwendet.Used for authentication depending on configuration.

Hinweis

Datenverkehr von „visualstudio.com“ oder „visualstudioonline.com“ wird für Einblicke in die App benötigt und ist für die Funktion des Gateways nicht erforderlich.Traffic going to visualstudio.com or visualstudioonline.com are for app insights and are not required for the gateway to function.

Erzwingen der HTTPS-Kommunikation mit Azure Service BusForcing HTTPS communication with Azure Service Bus

Sie können erzwingen, dass das Gateway zur Kommunikation mit Azure Service Bus anstelle von TCP das HTTPS-Protokoll verwendet.You can force the gateway to communicate with Azure Service Bus using HTTPS instead of direct TCP. Dies kann die Leistung beeinträchtigen.This may have an impact on performance. Ändern Sie zu diesem Zweck die Datei Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config, indem Sie den Wert von AutoDetect in Https ändern, wie im Codeausschnitt direkt nach diesem Abschnitt gezeigt.To do so, modify the Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config file by changing the value from AutoDetect to Https, as shown in the code snippet directly following this paragraph. Diese Datei befindet sich (standardmäßig) unter C:\Programme\Lokales Datengateway.That file is located (by default) at C:\Program Files\On-premises data gateway.

<setting name="ServiceBusSystemConnectivityModeString" serializeAs="String">
    <value>Https</value>
</setting>

Beim Wert des ServiceBusSystemConnectivityModeString-Parameters muss die Groß-Kleinschreibung beachtet werden.The value for the ServiceBusSystemConnectivityModeString parameter is case sensitive. Gültige Werte sind AutoDetect und Https.Valid values are AutoDetect and Https.

Alternativ können Sie ab der Version von März 2017 mithilfe der Gateway-Benutzeroberfläche dieses Verhalten des Gateways erzwingen.Alternatively, you can force the gateway to adopt this behavior using the gateway user interface, beginning with the March 2017 release. Wählen Sie auf der Gateway-Benutzeroberfläche Netzwerk aus, und wählen Sie dann für Azure Service Bus-Konnektivitätsmodus die Option Ein aus.In the gateway user interface select Network, then toggle the Azure Service Bus connectivity mode to On.

Wenn Sie nach dem Durchführen der Änderung Übernehmen (eine Schaltfläche, die nur angezeigt wird, wenn Sie eine Änderung vornehmen) auswählen, wird der Windows-Dienst Gateway automatisch neu gestartet, damit die Änderung wirksam werden kann.Once changed, when you select Apply (a button that only appears when you make a change), the gateway Windows service restarts automatically, so the change can take effect.

In ähnlichen Situationen in der Zukunft können Sie den Windows-Dienst Gateway über das Dialogfeld neu starten, indem Sie Diensteinstellungen und dann Jetzt neu starten auswählen.For future reference, you can restart the gateway Windows service from the user interface dialog by selecting Service Settings then select Restart Now.

Unterstützung für TLS 1.1/1.2Support for TLS 1.1/1.2

Ab dem Update von August 2017 verwendet das lokale Datengateway für die Kommunikation mit dem Power BI-Dienst standardmäßig Transport Layer Security (TLS) 1.1 bzw. 1.2.With the August 2017 update and beyond, the on-premises data gateway uses Transport Layer Security (TLS) 1.1 or 1.2 to communicate with the Power BI service by default. Frühere Versionen des lokalen Datengateways verwenden standardmäßig TLS 1.0.Previous versions of the on-premises data gateway use TLS 1.0 by default. Am 15. März 2018 endet die Unterstützung für TLS 1.0, einschließlich der Fähigkeit des Gateways, mit dem Power BI-Dienst über TLS 1.0 zu interagieren. Bis zu diesem Zeitpunkt müssen Sie also ein Upgrade Ihrer Installationen des lokalen Datengateways auf das Release vom August 2017 oder ein neueres Release durchführen, damit Ihre Gateways funktionsfähig bleiben.On March 15th 2018, support for TLS 1.0 will end, including the gateway's ability to interact with the Power BI service using TLS 1.0, so by then you must upgrade your on-premises data gateway installations to the August 2017 release or newer to ensure your gateways continue to operate.

Es ist zu beachten, dass vor dem 1. November TLS 1.0 durch das lokale Datengateway immer noch unterstützt und als Fallbackmechanismus verwendet wird.It's important to note that TLS 1.0 is still supported by the on-premises data gateway prior to November 1st, and is used by the gateway as a fallback mechanism. Um sicherzustellen, dass für sämtlichen Datenverkehr im Gateway TLS 1.1 oder 1.2 verwendet wird (und um die Verwendung von TLS 1.0 im Gateway zu verhindern), müssen Sie auf dem Computer, auf dem der Gatewaydienst ausgeführt wird, die folgenden Registrierungsschlüssel hinzufügen oder ändern:To ensure all gateway traffic uses TLS 1.1 or 1.2 (and to prevent the use of TLS 1.0 on your gateway), you must add or modify the following registry keys on the machine running the gateway service:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

Hinweis

Durch Hinzufügen bzw. Ändern dieser Registrierungsschlüssel wird die Änderung auf alle .NET-Anwendungen angewendet.Adding or modifying these registry keys applies the change to all .NET applications. Weitere Informationen zu den Registrierungsänderungen mit Auswirkungen auf TLS für andere Anwendungen finden Sie unter TLS-Registrierungseinstellungen (Transport Layer Security).For information about registry changes that affect TLS for other applications, see Transport Layer Security (TLS) registry settings.

So starten Sie das Gateway neuHow to restart the gateway

Das Gateway wird als Windows-Dienst ausgeführt.The gateway runs as a windows service. Sie können es wie jeden anderen Windows-Dienst starten und beenden.You can start and stop it like any windows service. Es gibt mehrere Möglichkeiten, dies zu tun.There are multiple ways to do this. In der Eingabeforderung müssen Sie daher wie folgt vorgehen:Here is how you can do it from the command prompt.

  1. Starten Sie auf dem Computer, auf dem das Gateway ausgeführt wird, eine Administratoreingabeaufforderung.On the machine where the gateway is running, launch an admin command prompt.
  2. Verwenden Sie den folgenden Befehl zum Beenden des Diensts.Use the following command to stop the service.

    net stop PBIEgwServicenet stop PBIEgwService

  3. Verwenden Sie den folgenden Befehl zum Starten des Diensts.Use the following command to start the service.

    net start PBIEgwServicenet start PBIEgwService

Nächste SchritteNext steps

Problembehandlung beim lokalen DatengatewayTroubleshooting the on-premises data gateway
Azure Service BusAzure Service Bus
Azure AD ConnectAzure AD Connect
Weitere Fragen?More questions? Wenden Sie sich an die Power BI-CommunityTry the Power BI Community