Konfigurere Kerberos til å bruke Power BI-rapporter

Finn ut hvordan du konfigurerer en rapportserver for Kerberos-godkjenning til datakilder som brukes i Power BI-rapporter for et distribuert miljø.

Obs!

denne videoen kan bruke tidligere versjoner av rapportserver for Power BI.

Rapportserver for Power BI inkluderer muligheten til å være vert for Power BI-rapporter. Mange datakilder støttes av rapportserveren. Selv om denne artikkelen fokuserer spesifikt på SQL Server Analysis Services, kan du bruke konseptene på andre datakilder, for eksempel SQL Server.

Du kan installere Rapportserver for Power BI, SQL Server og Analysis Services på én maskin, og alt skal virke uten ytterligere konfigurasjon. Dette er nyttig for testmiljøer. Det kan hende du støter på feil hvis du har installert disse tjenestene på separate maskiner, noe som kalles distribuert miljø. Dette miljøet krever at du bruker Kerberos-godkjenning. Konfigurasjon kreves for å implementere dette.

Du må konfigurere avgrenset delegering. Det kan hende du har konfigurert Kerberos i miljøet, men det er ikke sikkert at det er konfigurert for avgrenset delegering.

Feil ved kjøring av rapporten

Hvis rapportserveren ikke er konfigurert ordentlig, kan det hende du får følgende feilmelding.

Something went wrong.

We couldn't run the report because we couldn't connect to its data source. The report or data source might not be configured correctly. 

Du kommer til å se følgende melding i Tekniske detaljer.

We couldn't connect to the Analysis Services server. The server forcibly closed the connection. To connect as the user viewing the report, your organization must have configured Kerberos constrained delegation.

Skjermbilde av Power BI-rapporter, som viser en feilmelding relatert til problemer med å koble til Analysis Services-serveren.

Konfigurere Kerberos-avgrenset delegering

Det finnes flere elementer som må konfigureres for at Kerberos-avgrenset delegering skal fungere. Dette inkluderer Service Principal Names (SPN) og delegeringsinnstilinger på tjenestekontoer.

Obs!

Du må være domeneadministrator for å kunne konfigurere SPN-er og delegeringsinnstillinger.

Vi må konfigurere, eller validere, følgende.

  1. Godkjenningstype i konfigurasjonen for rapportserveren.
  2. SPN-er for tjenestekontoen for rapportserveren.
  3. SPN-er for Analysis Services-tjenesten.
  4. SPN-er for SQL Browser-tjenesten på Analysis Services-maskinen. Dette gjelder bare for navngitte forekomster.
  5. Delegeringsinnstillinger på tjenestekontoen for rapportserveren.

Godkjenningstype i konfigurasjon for rapportserveren

Vi må konfigurere godkjenningstype for at rapportserveren skal tillate for Kerberos-avgrenset delegering. Dette gjøres i rsreportserver.config-filen. Standardplasseringen for denne filen er C:\Program Files\Microsoft Power BI Report Server\PBIRS\ReportServer.

Du må søke etter delen Authentication/AuthenticationTypes i rsreportserver.config-filen.

Vi vil forsikre oss om at RSWindowsNegotiate er oppført, og at den er øverst på listen over godkjenningstyper. Den skal se ut omtrent som følgende.

<AuthenticationTypes>
    <RSWindowsNegotiate/>
    <RSWindowsNTLM/>
</AuthenticationTypes>

Hvis du skal endre konfigurasjonsfilen, må du stoppe og starte rapportserveren for å være sikker på at endringene trer i kraft.

Hvis du vil ha mer informasjon, kan du se Konfigurere Windows-godkjenning på rapportserveren.

SPN-er for tjenestekontoen for rapportserveren

Deretter må vi kontrollere at rapportserveren har gyldige SPN-er tilgjengelige. Dette er basert på tjenestekontoen som er konfigurert for rapportserveren.

Virtual Service Account eller Network Service

Hvis rapportserveren er konfigurert for Virtual Service Account eller Network Service-konto, skal du ikke måtte gjøre noe. Disse er i konteksten til maskinkontoen. Maskinkontoen har HOST-SPN-er som standard. Disse dekker HTTP-tjenesten og vil bli brukt av rapportserveren.

Hvis du bruker et virtuelt servernavn som ikke er det samme som maskinkontoen, vil ikke HOST-oppføringene dekke deg, og du må manuelt legge til SPN-ene for vertsnavnet til den virtuelle serveren.

Domenebrukerkonto

Hvis rapportserveren er konfigurert til å bruke en domenebrukerkonto, må du manuelt opprette HTTP-SPN-er på denne kontoen. Dette kan gjøres ved hjelp av setspn-verktøyet som følger med Windows.

Obs!

Du må ha rettigheter som domeneadministrator for å kunne opprette en SPN.

Det anbefales å opprette to SPN-er. Én med NetBIOS-navnet og den andre med det fullstendig kvalifiserte domenenavnet (FQDN). SPN-en blir i følgende format.

<Service>/<Host>:<port>

Rapportserver for Power BI bruker en tjeneste fra HTTP. Du fører ikke opp noen port for HTTP SPN-er. Tjenesten vi er interessert i her er HTTP. Verten for SPN-en blir navnet du bruker i en nettadresse. Dette er vanligvis maskinnavnet. Hvis du er bak en belastningsfordeler, kan det hende dette er et virtuelt navn.

Obs!

Du kan bekrefte nettadressen enten ved å se på hva du skriver inn i adresselinjen i nettleseren, eller du kan se i Konfigurasjonsbehandling for rapportserver på nettadressefanen for nettportalen.

Hvis maskinnavnet er ContosoRS, blir SPN-ene følgende.

SPN-type SPN
Fullstendig domenenavn (FQDN) HTTP/ContosoRS.contoso.com
NetBIOS HTTP/ContosoRS

Plassering av SPN-en

Hvor plasserer du SPN-en? SPN-en plasseres der du bruker tjenestekontoen. Hvis du bruker Virtual Service Account eller Network Service, vil dette være maskinkontoen. Selv om vi nevnte dette før, trenger du bare å gjøre dette for en virtuell nettadresse. Hvis du bruker en domenebruker for tjenestekontoen for rapportserveren, plasserer du SPN-en på den domenebrukerkontoen.

Hvis vi for eksempel bruker Network Service-kontoen og maskinnavnet er ContosoRS, plasserer vi SPN-en på ContosoRS.

Hvis vi bruker en domenebrukerkonto for RSService, plasserer vi SPN-en på RSService.

Bruke SetSPN for å legge til SPN-en

Vi kan bruke SetSPN-verktøyet til å legge til SPN-en. Vi følger det samme eksemplet som ovenfor med maskinkonto og domenebrukerkonto.

Plassering av SPN-en på en maskinkonto, for både FQDN og NetBIOS SPN, vil se omtrent slik ut hvis vi bruker en virtuell nettadresse for contosoreports.

Setspn -a HTTP/contosoreports.contoso.com ContosoRS
Setspn -a HTTP/contosoreports ContosoRS

Plassering av SPN-en på en domenebrukerkonto, for både FQDN og NetBIOS SPN, vil se omtrent slik ut hvis du bruker maskinnavnet som vert for SPN-en.

Setspn -a HTTP/ContosoRS.contoso.com RSService
Setspn -a HTTP/ContosoRS RSService

SPN-er for Analysis Services-tjenesten

SPN-er for Analysis Services ligner det vi gjorde med Rapportserver for Power BI. Formatet til SPN er litt annerledes hvis du har en navngitt forekomst.

Vi bruker en tjeneste fra MSOLAPSvc.3. Vi angir forekomstnavnet for portplasseringen på SPN-en. Vertsdelen til SPN-en er enten maskinnavnet eller det virtuelle klyngenavnet.

Et eksempel på en Analysis Services SPN kunne sett slik ut.

Type Format
Standardforekomst MSOLAPSvc.3/ContosoAS.contoso.com
MSOLAPSvc.3/ContosoAS
Navngitt forekomst MSOLAPSvc.3/ContosoAS.contoso.com:INSTANCENAME
MSOLAPSvc.3/ContosoAS:INSTANCENAME

Plasseringen av SPN-en ligner også den som ble nevnt med Rapportserver for Power BI. Den er basert på tjenestekontoen. Hvis du bruker Lokalt system eller Network Service, er du i konteksten til maskinkontoen. Hvis du bruker en domenebrukerkonto for Analysis Services-forekomsten, plasserer du SPN-en på domenebrukerkontoen.

Bruke SetSPN for å legge til SPN-en

Vi kan bruke SetSPN-verktøyet til å legge til SPN-en. I dette eksemplet blir maskinnavnet ContosoAS.

Plassering av SPN-en på en maskinkonto, for både FQDN og NetBIOS SPN, vil se omtrent slik ut.

Setspn -a MSOLAPSvc.3/ContosoAS.contoso.com ContosoAS
Setspn -a MSOLAPSvc.3/ContosoAS ContosoAS

Plassering av SPN på en domenebrukerkonto, for både FQDN og NetBIOS SPN, vil se omtrent slik ut.

Setspn -a MSOLAPSvc.3/ContosoAS.contoso.com OLAPService
Setspn -a MSOLAPSvc.3/ContosoAS OLAPService

SPN-er for SQL Browser-tjenesten

Hvis du har en Analysis Services-navngitt forekomst, må du også kontrollere at du har en SPN for nettleser-tjenesten. Denne er unik for Analysis Services.

SPN-ene for SQL Browser ligner det vi gjorde med Rapportserver for Power BI.

Vi bruker en tjeneste fra MSOLAPDisco.3 for SQL Browser. Vi angir forekomstnavnet for portplasseringen på SPN-en. Vertsdelen til SPN-en er enten maskinnavnet eller det virtuelle klyngenavnet. Du trenger ikke å angi noe for forekomstnavnet eller porten.

Et eksempel på en Analysis Services SPN kunne sett slik ut.

MSOLAPDisco.3/ContosoAS.contoso.com
MSOLAPDisco.3/ContosoAS

Plasseringen av SPN-en ligner også den som ble nevnt med Rapportserver for Power BI. Forskjellen er at SQL Browser alltid kjører under den lokale systemkontoen. Dette betyr at SPN-ene alltid går på maskinkontoen.

Bruke SetSPN for å legge til SPN-en

Vi kan bruke SetSPN-verktøyet til å legge til SPN-en. I dette eksemplet blir maskinnavnet ContosoAS.

Plassering av SPN-en på maskinkontoen, for både FQDN og NetBIOS SPN, vil se omtrent slik ut.

Setspn -a MSOLAPDisco.3/ContosoAS.contoso.com ContosoAS
Setspn -a MSOLAPDisco.3/ContosoAS ContosoAS

Hvis du vil ha mer informasjon, kan du se SPN for SQL Server Browser-tjenesten kreves.

Delegeringsinnstillinger på tjenestekontoen for rapportserveren

Den siste delen vi må konfigurere, er delegeringsinnstillingene på tjenestekontoen for rapportserveren. Det finnes ulike verktøy du kan bruke for å utføre disse trinnene. Vi holder oss til Active Directory-brukere og -datamaskiner i dette dokumentet.

Du må starte med å gå til egenskapene til tjenestekontoen for rapportserveren i Active Directory-brukere og -datamaskiner. Dette må enten være maskinkontoen, hvis du har brukt Virtual Service Account eller Network Service, eller det vil være en domenebrukerkonto.

Vil må konfigurere avgrenset delegering med protokolltransitten. Du må være eksplisitt med hvilke tjenester som skal delegeres til med avgrenset delegering. Vi legger til både tjeneste-SPN og SQL Browser-SPN i listen Rapportserver for Power BI kan delegere til.

  1. Høyreklikk på tjenestekontoen for rapportserveren, og velg Egenskaper.

  2. Velg Delegering-fanen.

  3. Velg Stol på denne datamaskinen for delegering bare til angitte tjenester.

  4. Velg Bruk en hvilken som helst godkjenningsprotokoll.

  5. Velg Legg til under Tjenester som denne kontoen kan bruke til å presentere delegerte legitimasjoner.

  6. Velg Brukere eller datamaskiner i den nye dialogboksen.

  7. Angi tjenestekonto for Analysis Services-tjenesten, og velg OK.

  8. Velg SPN-en du opprettet. Den begynner med MSOLAPSvc.3. Hvis både FQDN og NetBIOS SPN er lagt til, velges begge. Du ser kanskje bare én.

  9. Velg OK. Du skal nå kunne se SPN i listen.

  10. Du kan også velge Utvidet for å vise både FQDN og NetBIOS SPN i listen.

  11. Velg Legg til en gang til. Vi legger til SQL Browser-SPN nå.

  12. Velg Brukere eller datamaskiner i den nye dialogboksen.

  13. Skriv inn navnet på maskinen hvor SQL Browser-tjenesten er, og velg OK.

  14. Velg SPN-en du opprettet. Den begynner med MSOLAPDisco.3. Hvis både FQDN og NetBIOS SPN er lagt til, velges begge. Du ser kanskje bare én.

  15. Velg OK. Dialogboksen skal se ut som følgende hvis du har merket av for Utvidet.

    Skjermbilde av Power BI-rapporter, som viser Delegering-fanen i Egenskaper-vinduet.

  16. Velg OK.

  17. Start Rapportserver for Power BI på nytt.

Kjøre en Power BI-rapport

Når all konfigurasjonen ovenfor er gjort, skal rapporten kunne vises ordentlig.

Skjermbilde av Power BI-rapporter, som viser et eksempel på et Instrumentbord-vindu.

Selv om denne konfigurasjonen vil fungere i de fleste tilfeller, kan det være forskjellige konfigurasjoner med Kerberos, avhengig av miljøet. Hvis rapporten fremdeles ikke lastes inn, må du kontakte domeneadministratoren for å undersøke dette nærmere eller kontakte kundestøtte.

Neste trinn

Administratoroversikt
Installer rapportserver for Power BI

Har du flere spørsmål? Prøv å spørre Power BI-fellesskapet