Ρύθμιση παραμέτρων του Kerberos για χρήση αναφορών του Power BI
Μάθετε πώς μπορείτε να ρυθμίσετε τις παραμέτρους του διακομιστή αναφορών για τον έλεγχο ταυτότητας Kerberos σε προελεύσεις δεδομένων που χρησιμοποιούνται στις αναφορές σας Power BI για κατανεμημένο περιβάλλον.
Σημείωμα
Αυτό το βίντεο μπορεί να χρησιμοποιεί παλαιότερες εκδόσεις του Power BI Report Server.
Ο Power BI Report Server περιλαμβάνει τη δυνατότητα φιλοξενίας αναφορών του Power BI. Πολλές προελεύσεις δεδομένων υποστηρίζονται από τον διακομιστή αναφορών σας. Παρόλο που αυτό το άρθρο εστιάζει ειδικά σε Υπηρεσίες ανάλυσης του SQL Server, μπορείτε να χρησιμοποιήσετε τις έννοιες και να τις εφαρμόσετε σε άλλες προελεύσεις δεδομένων όπως ο SQL Server.
Μπορείτε να εγκαταστήσετε τον Power BI Report Server, τον SQL Server και τις Υπηρεσίες ανάλυσης σε έναν μόνο υπολογιστή και όλα θα πρέπει να λειτουργούν χωρίς πρόσθετες ρυθμίσεις παραμέτρων. Αυτό είναι εξαιρετικό για ένα περιβάλλον δοκιμής. Εάν εγκαταστήσετε αυτές τις υπηρεσίες σε ξεχωριστούς υπολογιστές, το οποίο ονομάζεται κατανεμημένο περιβάλλον, ενδέχεται να αντιμετωπίσετε σφάλματα. Σε αυτό το περιβάλλον, απαιτείται να χρησιμοποιήσετε τον έλεγχο ταυτότητας Kerberos. Για να γίνει αυτό, απαιτείται ρύθμιση παραμέτρων.
Συγκεκριμένα, θα πρέπει να ρυθμίσετε τις παραμέτρους της περιορισμένης ανάθεσης. Μπορεί να έχετε ρυθμίσει τις παραμέτρους του Kerberos στο περιβάλλον σας, αλλά μπορεί να μην έχουν ρυθμιστεί για περιορισμένη ανάθεση.
Σφάλμα κατά την εκτέλεση αναφοράς
Εάν ο διακομιστής αναφορών σας δεν έχει ρυθμιστεί σωστά, ενδέχεται να λάβετε το ακόλουθο σφάλμα.
Something went wrong.
We couldn't run the report because we couldn't connect to its data source. The report or data source might not be configured correctly.
Στην ενότητα Τεχνικές λεπτομέρειες, θα δείτε το ακόλουθο μήνυμα.
We couldn't connect to the Analysis Services server. The server forcibly closed the connection. To connect as the user viewing the report, your organization must have configured Kerberos constrained delegation.
Ρύθμιση παραμέτρων περιορισμένης ανάθεσης Kerberos
Υπάρχουν πολλά στοιχεία που πρέπει να ρυθμιστούν προκειμένου να λειτουργήσει η περιορισμένη ανάθεση Kerberos. Αυτό περιλαμβάνει τις ρυθμίσεις κύριας υπηρεσίας (SPN) και ανάθεσης στους λογαριασμούς υπηρεσίας.
Σημείωμα
Για να ρυθμίσετε τις παραμέτρους των SPN και της ανάθεσης, πρέπει να είστε διαχειριστής τομέα.
Θα πρέπει να ρυθμίσετε, ή να επικυρώσετε, τα εξής.
- Τύπος ελέγχου ταυτότητας στις παραμέτρους του Report Server.
- ΤΑ SPN για τον λογαριασμό υπηρεσίας του διακομιστή αναφορών.
- ΤΑ SPN για την υπηρεσία των Υπηρεσιών ανάλυσης.
- Τα SPN για την υπηρεσία SQL Browser στον υπολογιστή των Υπηρεσιών ανάλυσης. Αυτό αφορά μόνο επώνυμες παρουσίες.
- Ρυθμίσεις ανάθεσης στον λογαριασμό υπηρεσίας του διακομιστή αναφορών.
Τύπος ελέγχου ταυτότητας εντός της ρύθμισης παραμέτρων του Report Server
Πρέπει να ρυθμίσουμε τον τύπο ελέγχου ταυτότητας για τον διακομιστή αναφορών ώστε να επιτρέπει την περιορισμένη ανάθεση Kerberos. Αυτό γίνεται στο αρχείο rsreportserver.config . Η προεπιλεγμένη θέση για αυτό το αρχείο είναι C:\Program Files\Microsoft Power BI Report Server\PBIRS\ReportServer.
Εντός του αρχείου rsreportserver.config, μπορείτε να επεξεργαστείτε με πρόστιμο την ενότητα Authentication/AuthenticationTypes .
Βεβαιωθείτε ότι παρατίθεται το στοιχείο RSWindowsNegotiate και ότι είναι το πρώτο στη λίστα με τους τύπους ελέγχου ταυτότητας. Θα πρέπει να μοιάζει με το ακόλουθο.
<AuthenticationTypes>
<RSWindowsNegotiate/>
<RSWindowsNTLM/>
</AuthenticationTypes>
Εάν έπρεπε να αλλάξετε το αρχείο ρύθμισης παραμέτρων, πρέπει να διακόψετε και να εκκινήσετε τον διακομιστή αναφορών για να βεβαιωθείτε ότι οι αλλαγές θα εφαρμοστούν.
Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Ρύθμιση παραμέτρων του ελέγχου ταυτότητας των Windows στο Report Server.
SPN για τον λογαριασμό υπηρεσίας του διακομιστή αναφορών
Στη συνέχεια, πρέπει να βεβαιωθούμε ότι ο διακομιστής αναφορών έχει έγκυρα διαθέσιμα SPN. Αυτό βασίζεται στον λογαριασμό υπηρεσίας που έχει ρυθμιστεί για τον διακομιστή αναφορών.
Εικονικός λογαριασμός υπηρεσίας ή υπηρεσία δικτύου
Εάν ο διακομιστής αναφορών σας έχει ρυθμιστεί για τον λογαριασμό "Εικονικός λογαριασμός υπηρεσίας" ή "Υπηρεσία δικτύου", δεν χρειάζεται να κάνετε τίποτα. Αυτά βρίσκονται στο περιβάλλον του λογαριασμού υπολογιστή. Ο λογαριασμός υπολογιστή θα έχει SPN HOST από προεπιλογή. Αυτές καλύπτουν την υπηρεσία HTTP και θα χρησιμοποιηθούν από τον διακομιστή αναφορών.
Εάν χρησιμοποιείτε ένα όνομα εικονικού διακομιστή που δεν είναι ίδιο με τον λογαριασμό υπολογιστή, οι καταχωρήσεις HOST δεν σας καλύπτουν και θα χρειαστεί να προσθέσετε με μη αυτόματο τρόπο τα SPN για το όνομα κεντρικού υπολογιστή του εικονικού διακομιστή.
Λογαριασμός χρήστη τομέα
Εάν ο διακομιστής αναφορών σας έχει ρυθμιστεί να χρησιμοποιεί έναν λογαριασμό χρήστη τομέα, θα πρέπει να δημιουργήσετε με μη αυτόματο τρόπο ΤΑ SPN HTTP σε αυτόν τον λογαριασμό. Αυτό μπορεί να γίνει χρησιμοποιώντας το εργαλείο setspn που συνοδεύει τα Windows.
Σημείωμα
Θα χρειαστείτε δικαιώματα διαχειριστή τομέα για να δημιουργήσετε το SPN.
Συνιστάται να δημιουργήσετε δύο SPN. Το ένα με το όνομα NetBIOS και το άλλο με το πλήρως προσδιορισμένο όνομα τομέα (FQDN). Το SPN θα έχει την ακόλουθη μορφή.
<Service>/<Host>:<port>
Ο Power BI Report Server θα χρησιμοποιήσει μια υπηρεσία HTTP. Για ΤΑ SPN HTTP δεν παρατίθενται θύρα. Η υπηρεσία που μας ενδιαφέρει εδώ είναι HTTP. Ο κεντρικός υπολογιστής του SPN θα είναι το όνομα που χρησιμοποιείτε σε μια διεύθυνση URL. Συνήθως, αυτό είναι το όνομα του υπολογιστή. Εάν βρίσκεστε πίσω από έναν εξισορροπητή φορτίου, αυτό μπορεί να είναι ένα εικονικό όνομα.
Σημείωμα
Μπορείτε να επαληθεύσετε τη διεύθυνση URL εξετάζοντας αυτό που καταχωρείτε στη γραμμή διευθύνσεων του προγράμματος περιήγησης ή μπορείτε να κάνετε αναζήτηση στη Διαχείριση ρύθμισης παραμέτρων του διακομιστή αναφορών στην καρτέλα Διεύθυνση URL της πύλης Web.
Εάν το όνομα του υπολογιστή σας είναι ContosoRS, τα SPN σας θα είναι τα εξής.
| Τύπος SPN | SPN |
|---|---|
| Πλήρως προσδιορισμένο όνομα τομέα (FQDN) | HTTP/ContosoRS.contoso.com |
| Netbios | HTTP/ContosoRS |
Θέση του SPN
Λοιπόν, πού θα τοποθετήσετε το SPN; Το SPN θα τοποθετηθεί σε οποιονδήποτε λογαριασμό χρησιμοποιείτε για τον λογαριασμό υπηρεσίας σας. Εάν χρησιμοποιείτε έναν εικονικό λογαριασμό υπηρεσίας ή μια υπηρεσία δικτύου, αυτός θα είναι ο λογαριασμός υπολογιστή. Παρόλο που αναφέραμε πριν, πρέπει να το κάνετε αυτό μόνο για μια εικονική διεύθυνση URL. Εάν χρησιμοποιείτε έναν χρήστη τομέα για τον λογαριασμό υπηρεσίας του διακομιστή αναφορών, τότε θα τοποθετήσετε το SPN σε αυτόν τον λογαριασμό χρήστη τομέα.
Για παράδειγμα, εάν χρησιμοποιούμε τον λογαριασμό υπηρεσίας δικτύου και το όνομα υπολογιστή μας είναι ContosoRS, θα τοποθετήσουμε το SPN στον ContosoRS.
Εάν χρησιμοποιούμε έναν λογαριασμό χρήστη τομέα της RSService, θα τοποθετήσουμε το SPN στην RSService.
Χρήση του SetSPN για την προσθήκη του SPN
Μπορούμε να χρησιμοποιήσουμε το εργαλείο SetSPN για να προσθέσουμε το SPN. Θα ακολουθήσουμε το ίδιο παράδειγμα όπως παραπάνω με τον λογαριασμό υπολογιστή και τον λογαριασμό χρήστη τομέα.
Η τοποθέτηση του SPN σε έναν λογαριασμό υπολογιστή, τόσο για το SPN FQDN όσο και για το NetBIOS SPN, θα μοιάζει με το εξής εάν χρησιμοποιούσαμε μια εικονική διεύθυνση URL του contosoreports.
Setspn -a HTTP/contosoreports.contoso.com ContosoRS
Setspn -a HTTP/contosoreports ContosoRS
Η τοποθέτηση του SPN σε έναν λογαριασμό χρήστη τομέα, τόσο για το SPN FQDN όσο και για το NetBIOS SPN, θα μοιάζει με το εξής εάν χρησιμοποιούσατε το όνομα υπολογιστή για τον κεντρικό υπολογιστή του SPN.
Setspn -S HTTP/ContosoRS.contoso.com RSService
Setspn -S HTTP/ContosoRS RSService
SPN για την υπηρεσία των Υπηρεσιών ανάλυσης
Τα SPN για τις Υπηρεσίες ανάλυσης είναι παρόμοια με αυτά που τα κάναμε με τον Power BI Report Server. Η μορφή του SPN είναι λίγο διαφορετική εάν έχετε μια επώνυμη παρουσία.
Για τις Υπηρεσίες ανάλυσης, χρησιμοποιούμε μια υπηρεσία MSOLAPSvc.3. Θα καθορίσουμε το όνομα της παρουσίας για τη θέση της θύρας στο SPN. Το τμήμα κεντρικού υπολογιστή του SPN θα είναι είτε το όνομα υπολογιστή, είτε το όνομα του εικονικού συμπλέγματος.
Ένα παράδειγμα ενός SPN Υπηρεσιών ανάλυσης θα μοιάζει με το παρακάτω.
| Τύπος | Μορφή |
|---|---|
| Προεπιλεγμένη παρουσία | MSOLAPSvc.3/ContosoAS.contoso.com MSOLAPSvc.3/ContosoAS |
| Επώνυμη παρουσία | MSOLAPSvc.3/ContosoAS.contoso.com:INSTANCENAME MSOLAPSvc.3/ContosoAS:INSTANCENAME |
Η τοποθέτηση του SPN είναι επίσης παρόμοια με αυτό που αναφέρθηκε με τον Power BI Report Server. Βασίζεται στον λογαριασμό υπηρεσίας. Εάν χρησιμοποιείτε το τοπικό σύστημα ή την υπηρεσία δικτύου, θα βρίσκεστε στο περιβάλλον του λογαριασμού υπολογιστή. Εάν χρησιμοποιείτε έναν λογαριασμό χρήστη τομέα για την παρουσία των Υπηρεσιών ανάλυσης, θα τοποθετήσετε το SPN στον λογαριασμό χρήστη τομέα.
Χρήση του SetSPN για την προσθήκη του SPN
Μπορούμε να χρησιμοποιήσουμε το εργαλείο SetSPN για να προσθέσουμε το SPN. Για αυτό το παράδειγμα, το όνομα υπολογιστή θα είναι ContosoAS.
Η τοποθέτηση του SPN σε έναν λογαριασμό υπολογιστή, τόσο για το SPN FQDN όσο και για το NetBIOS SPN, θα μοιάζει με το εξής.
Setspn -S MSOLAPSvc.3/ContosoAS.contoso.com ContosoAS
Setspn -S MSOLAPSvc.3/ContosoAS ContosoAS
Η τοποθέτηση του SPN σε έναν λογαριασμό χρήστη τομέα, τόσο για το SPN FQDN όσο και για το NetBIOS SPN, θα μοιάζει με το εξής.
Setspn -S MSOLAPSvc.3/ContosoAS.contoso.com OLAPService
Setspn -S MSOLAPSvc.3/ContosoAS OLAPService
SPN για την υπηρεσία SQL Browser
Εάν έχετε μια επώνυμη παρουσία των Υπηρεσιών ανάλυσης, πρέπει επίσης να βεβαιωθείτε ότι έχετε ένα SPN για την υπηρεσία προγράμματος περιήγησης. Αυτό είναι μοναδικό για τις Υπηρεσίες ανάλυσης.
Τα SPN για το SQL Browser είναι παρόμοια με αυτά που τα κάναμε με τον Power BI Report Server.
Για το SQL Browser, χρησιμοποιούμε μια υπηρεσία MSOLAPDisco.3. Θα καθορίσουμε το όνομα της παρουσίας για τη θέση της θύρας στο SPN. Το τμήμα κεντρικού υπολογιστή του SPN θα είναι είτε το όνομα υπολογιστή, είτε το όνομα του εικονικού συμπλέγματος. Δεν χρειάζεται να καθορίσετε τίποτα για το όνομα της παρουσίας ή τη θύρα.
Ένα παράδειγμα ενός SPN Υπηρεσιών ανάλυσης θα μοιάζει με το παρακάτω.
MSOLAPDisco.3/ContosoAS.contoso.com
MSOLAPDisco.3/ContosoAS
Η τοποθέτηση του SPN είναι επίσης παρόμοια με αυτό που αναφέρθηκε με τον Power BI Report Server. Η διαφορά εδώ είναι ότι το SQL Browser εκτελείται πάντα με τον λογαριασμό "Τοπικό σύστημα". Αυτό σημαίνει ότι τα SPN θα πηγαίνουν πάντα στον λογαριασμό υπολογιστή.
Χρήση του SetSPN για την προσθήκη του SPN
Μπορούμε να χρησιμοποιήσουμε το εργαλείο SetSPN για να προσθέσουμε το SPN. Για αυτό το παράδειγμα, το όνομα υπολογιστή θα είναι ContosoAS.
Η τοποθέτηση του SPN στον λογαριασμό υπολογιστή, τόσο για το SPN FQDN όσο και για το NetBIOS SPN, θα μοιάζει με το εξής.
Setspn -S MSOLAPDisco.3/ContosoAS.contoso.com ContosoAS
Setspn -S MSOLAPDisco.3/ContosoAS ContosoAS
Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Απαιτείται SPN για την υπηρεσία SQL Server Browser.
Ρυθμίσεις ανάθεσης στον λογαριασμό υπηρεσίας του διακομιστή αναφορών
Το τελευταίο τμήμα που πρέπει να ρυθμίσουμε είναι οι ρυθμίσεις ανάθεσης στον λογαριασμό υπηρεσίας του διακομιστή αναφορών. Υπάρχουν διάφορα εργαλεία που μπορείτε να χρησιμοποιήσετε για να εκτελέσετε αυτά τα βήματα. Για τους σκοπούς αυτού του εγγράφου, θα παραμείνουμε Χρήστες και Υπολογιστές της υπηρεσίας καταλόγου Active Directory.
Θα πρέπει να ξεκινήσετε από τις ιδιότητες του λογαριασμού υπηρεσίας του διακομιστή αναφορών Χρήστες και Υπολογιστές της υπηρεσίας καταλόγου Active Directory. Αυτός θα είναι ο λογαριασμός υπολογιστή, εάν χρησιμοποιήσατε έναν εικονικό λογαριασμό υπηρεσίας ή μια υπηρεσία δικτύου, ή θα είναι ένας λογαριασμός χρήστη τομέα.
Θα ρυθμίσουμε τις παραμέτρους της περιορισμένης ανάθεσης με μεταφορά πρωτοκόλλου. Με την περιορισμένη ανάθεση, πρέπει να αναφέρετε ρητά τις υπηρεσίες που θέλετε να αναθέσετε. Θα προσθέσουμε τόσο το SPN υπηρεσίας των Υπηρεσιών ανάλυσης όσο και το SPN του SQL Browser στη λίστα που μπορεί να αναθέσει ο Power BI Report Server.
Κάντε δεξί κλικ στον λογαριασμό υπηρεσίας του διακομιστή αναφορών και επιλέξτε Ιδιότητες.
Επιλέξτε την καρτέλα Ανάθεση .
Επιλέξτε Να θεωρείται αξιόπιστος αυτός ο υπολογιστής για αντιπροσώπευση μόνο σε καθορισμένες υπηρεσίες.
Επιλέξτε Χρήση οποιουδήποτε πρωτοκόλλου ελέγχου ταυτότητας.
Στην ενότητα Υπηρεσίες στις οποίες αυτός ο λογαριασμός μπορεί να παρουσιάσει πιστοποιήσεις με ανάθεση: επιλέξτε Προσθήκη.
Στο νέο παράθυρο διαλόγου, επιλέξτε Χρήστες ή υπολογιστές.
Εισαγάγετε τον λογαριασμό υπηρεσίας για την υπηρεσία των Υπηρεσιών ανάλυσης και επιλέξτε Ok.
Επιλέξτε το SPN που δημιουργήσατε. Θα ξεκινήσει με
MSOLAPSvc.3. Εάν προσθέσατε το FQDN και το SPN NetBIOS, θα επιλέξει και τα δύο. Μπορεί να δείτε μόνο ένα.Επιλέξτε OK. Τώρα θα πρέπει να δείτε το SPN στη λίστα.
Προαιρετικά, μπορείτε να επιλέξετε Αναπτυγμένο για να εμφανίσετε το FQDN και το SPN NetBIOS στη λίστα.
Επιλέξτε Προσθήκη ξανά. Θα προσθέσουμε τώρα το SPN του SQL Browser.
Στο νέο παράθυρο διαλόγου, επιλέξτε Χρήστες ή υπολογιστές.
Εισαγάγετε το όνομα υπολογιστή για τον υπολογιστή στον οποίο βρίσκεται η υπηρεσία SQL Browser και επιλέξτε Ok.
Επιλέξτε το SPN που δημιουργήσατε. Θα ξεκινήσει με
MSOLAPDisco.3. Εάν προσθέσατε το FQDN και το SPN NetBIOS, θα επιλέξει και τα δύο. Μπορεί να δείτε μόνο ένα.Επιλέξτε Οk. Το παράθυρο διαλόγου θα πρέπει να μοιάζει με το ακόλουθο, εάν επιλέξατε Αναπτυγμένο.
Επιλέξτε Οk.
Επανεκκινήστε τον Power BI Report Server.
Εκτέλεση αναφοράς Power BI
Αφού εφαρμοστούν όλες οι παραπάνω ρυθμίσεις παραμέτρων, η αναφορά σας θα πρέπει να εμφανίζεται σωστά.
Παρόλο που αυτή η ρύθμιση παραμέτρων θα πρέπει να λειτουργεί στις περισσότερες περιπτώσεις, με το Kerberos, μπορεί να υπάρχει διαφορετική ρύθμιση παραμέτρων ανάλογα με το περιβάλλον σας. Εάν η αναφορά εξακολουθεί να μην φορτώνει, θα πρέπει να επικοινωνήσετε με τον διαχειριστή του τομέα σας για περαιτέρω διερεύνηση ή να επικοινωνήσετε με την υποστήριξη.
Σχετικό περιεχόμενο
Περισσότερες ερωτήσεις; Δοκιμάστε να ρωτήσετε τον Κοινότητα Power BI
Σχόλια
Σύντομα διαθέσιμα: Καθ' όλη τη διάρκεια του 2024 θα καταργήσουμε σταδιακά τα ζητήματα GitHub ως μηχανισμό ανάδρασης για το περιεχόμενο και θα το αντικαταστήσουμε με ένα νέο σύστημα ανάδρασης. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα: https://aka.ms/ContentUserFeedback.
Υποβολή και προβολή σχολίων για