Χρήση καθολικής σύνδεσης Kerberos για SSO στο SAP BW με χρήση του CommonCryptoLib (sapcrypto.dll)

Αυτό το άρθρο περιγράφει τον τρόπο ρύθμισης της προέλευσης δεδομένων σας SAP BW για ενεργοποίηση καθολικής σύνδεσης (SSO) από την υπηρεσία Power BI, χρησιμοποιώντας το CommonCryptoLib (sapcrypto.dll).

Σημείωμα

Προτού επιχειρήσετε να ανανεώσετε μια αναφορά που βασίζεται στο SAP BW που χρησιμοποιεί το Kerberos SSO, ολοκληρώστε αμφότερα τα βήματα σε αυτό το άρθρο και τα βήματα στην ενότητα Ρύθμιση παραμέτρων SSO που βασίζεται στο Kerberos. Η χρήση του CommonCryptoLib ως της βιβλιοθήκης ασφαλών επικοινωνιών δικτύου (SNC) ενεργοποιεί τις συνδέσεις SSO σε αμφότερους τους διακομιστές εφαρμογών SAP BW και διακομιστές μηνυμάτων SAP BW.

Σημείωμα

Η ρύθμιση παραμέτρων και των δύο βιβλιοθηκών (sapcrypto και gx64krb5) στον ίδιο διακομιστή πύλης είναι ένα μη υποστηριζόμενο σενάριο. Δεν συνιστάται η ρύθμιση και των δύο βιβλιοθηκών στον ίδιο διακομιστή πύλης, καθώς θα οδηγήσει σε έναν συνδυασμό βιβλιοθηκών. Εάν θέλετε να χρησιμοποιήσετε και τις δύο βιβλιοθήκες, διαχωρίστε πλήρως τον διακομιστή πύλης. Για παράδειγμα, ρυθμίστε τις παραμέτρους του gx64krb5 για τον διακομιστή A και, στη συνέχεια, sapcrypto για τον διακομιστή B. Να θυμάστε ότι οποιαδήποτε αποτυχία στον διακομιστή A που χρησιμοποιεί το gx64krb5 δεν υποστηρίζεται, καθώς το gx64krb5 δεν υποστηρίζεται πλέον από το SAP και τη Microsoft.

Ρύθμιση παραμέτρων SAP BW για ενεργοποίηση SSO με χρήση του CommonCryptoLib

Σημείωμα

Η πύλη δεδομένων εσωτερικής εγκατάστασης είναι λογισμικό 64 bit και επομένως απαιτεί την έκδοση 64 bit του CommonCryptoLib (sapcrypto.dll) για την εκτέλεση BW SSO. Εάν σκοπεύετε να δοκιμάσετε τη σύνδεση SSO στον διακομιστή σας SAP BW σε SAP GUI πριν την προσπάθεια σύνδεσης SSO μέσω της πύλης (συνιστάται), θα χρειαστείτε επίσης την έκδοση 32 bit του CommonCryptoLib, καθώς το SAP GUI είναι λογισμικό 32 bit.

1. Βεβαιωθείτε ότι ο διακομιστής σας BW έχει ρυθμιστεί σωστά για Kerberos SSO χρησιμοποιώντας το CommonCryptoLib. Εάν έχει ρυθμιστεί σωστά, μπορείτε να χρησιμοποιήσετε SSO για πρόσβαση στον διακομιστή σας BW (είτε απευθείας, είτε μέσω ενός διακομιστή μηνυμάτων SAP BW) με ένα εργαλείο SAP όπως το SAP GUI, το οποίο έχει ρυθμιστεί για χρήση του CommonCryptoLib.

   Για περισσότερες πληροφορίες σχετικά με τα βήματα ρύθμισης, ανατρέξτε στο θέμα Καθολική σύνδεση SAP: Έλεγχος ταυτότητας με το Kerberos/SPNEGO. Ο διακομιστής BW θα πρέπει να χρησιμοποιεί το CommonCryptoLib ως βιβλιοθήκη SNC και να έχει ένα όνομα SNC που ξεκινά με CN=, όπως CN=BW1. Για περισσότερες πληροφορίες σχετικά με τις απαιτήσεις ονόματος SNC (συγκεκριμένα, το snc/ταυτότητα/ως παράμετρος), ανατρέξτε στο θέμα Παράμετροι SNC για τη ρύθμιση παραμέτρων του Kerberos.

2. Εάν δεν το έχετε κάνει ήδη, εγκαταστήστε την έκδοση x64 του SAP .NET Connector στον υπολογιστή στον οποίο έχει εγκατασταθεί η πύλη.

   Μπορείτε να ελέγξετε εάν το στοιχείο έχει εγκατασταθεί, επιχειρώντας να συνδεθείτε στον διακομιστή σας BW στο Power BI Desktop από τον υπολογιστή πύλης. Εάν δεν μπορείτε να συνδεθείτε χρησιμοποιώντας την υλοποίηση 2.0, τότε δεν έχει εγκατασταθεί το .NET Connector ή δεν έχει εγκατασταθεί στο cache καθολικής συγκρότησης.

3. Βεβαιωθείτε ότι ο το Πρόγραμμα-πελάτης ασφαλούς σύνδεσης (SLC) του SAP δεν εκτελείται στον υπολογιστή στον οποίο είναι εγκατεστημένη η πύλη.

   Το SLC αποθηκεύει στην cache τα δελτία του Kerberos με τρόπο που μπορεί να επηρεάσει τη δυνατότητα χρήσης του Kerberos για SSO από την πύλη.

4. Εάν έχει εγκατασταθεί το SLC, καταργήστε το ή βεβαιωθείτε ότι πραγματοποιείτε έξοδο από το πρόγραμμα-πελάτη ασφαλούς σύνδεσης SAP. Κάντε δεξί κλικ στο εικονίδιο στη γραμμή εργασιών του συστήματος και επιλέξτε Αποσύνδεση και Έξοδος προτού επιχειρήσετε μια καθολική σύνδεση χρησιμοποιώντας την πύλη.

   Το SLC δεν υποστηρίζεται για χρήση σε υπολογιστές Windows Server. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα 2780475 σημείωσης SAP (απαιτείται χρήστης s-user).

   

5. Εάν καταργήσετε την εγκατάσταση του SLC ή επιλέξετε Αποσύνδεση και Έξοδος, ανοίξτε ένα παράθυρο cmd και πληκτρολογήστε klist purge για να διαγράψετε τυχόν προσωρινά αποθηκευμένα δελτία Kerberos πριν επιχειρήσετε μια σύνδεση SSO μέσω της πύλης.

6. Κάντε λήψη του CommonCryptoLib 64 bit (sapcrypto.dll) έκδοση 8.5.25 ή μεγαλύτερη από το SAP Launchpad και αντιγράψτε το σε έναν φάκελο στον υπολογιστή πύλης σας. Στον ίδιο κατάλογο στον οποίο αντιγράψατε sapcrypto.dll, δημιουργήστε ένα αρχείο με την ονομασία sapcrypto.ini, με το ακόλουθο περιεχόμενο:

   ccl/snc/enable_kerberos_in_client_role = 1
   

   Το αρχείο .ini περιέχει πληροφορίες ρύθμισης παραμέτρων που απαιτούνται από το CommonCryptoLib για την ενεργοποίηση SSO στο σενάριο πύλης.

   Σημείωμα

   Αυτά τα αρχεία πρέπει να αποθηκεύονται στην ίδια θέση. με άλλα λόγια, το /path/to/sapcrypto/ θα πρέπει να περιέχει τόσο sapcrypto.ini όσο και sapcrypto.dll.

   Τόσο ο χρήστης της υπηρεσίας πύλης όσο και ο χρήστης της υπηρεσίας καταλόγου Active Directory (AD) που μιμείται ο χρήστης της υπηρεσίας, πρέπει να έχουν δικαιώματα ανάγνωσης και εκτέλεσης για τα δύο αρχεία. Συνιστούμε να εκχωρήσετε δικαιώματα στα αρχεία .ini και .dll στην ομάδα Εξουσιοδοτημένοι χρήστες. Για σκοπούς δοκιμής, μπορείτε επίσης να εκχωρήσετε ρητά αυτά τα δικαιώματα στον χρήστη υπηρεσίας πύλης και στον χρήστη AD που χρησιμοποιείτε για δοκιμή. Στο παρακάτω στιγμιότυπο οθόνης, έχουμε εκχωρήσει στην ομάδα Εξουσιοδοτημένοι χρήστες δικαιώματα Ανάγνωσης και εκτέλεσης για sapcrypto.dll:

   

7. Εάν δεν έχετε ήδη μια προέλευση δεδομένων SAP BW συσχετισμένη με την πύλη μέσω της οποίας θέλετε να ρέει η σύνδεση SSO, προσθέστε μία στη σελίδα Διαχείριση συνδέσεων και πυλών στην υπηρεσία Power BI. Εάν έχετε ήδη μια τέτοια προέλευση δεδομένων, επεξεργαστείτε την:

   • Επιλέξτε SAP Business Warehouse ως τον τύπο προέλευσης δεδομένων, εάν θέλετε να δημιουργήσετε μια σύνδεση SSO σε έναν διακομιστή εφαρμογών BW.
   • Επιλέξτε Διακομιστής μηνυμάτων Sap Business Warehouse εάν θέλετε να δημιουργήσετε μια σύνδεση SSO σε έναν διακομιστή μηνυμάτων BW.

8. Για τη Βιβλιοθήκη SNC, επιλέξτε τη μεταβλητή περιβάλλοντος SNC_LIB ή SNC_LIB_64 ή Προσαρμογή.

   • Εάν επιλέξετε SNC_LIB, πρέπει να ορίσετε την τιμή της μεταβλητής περιβάλλοντος SNC_LIB_64 στον υπολογιστή πύλης στην απόλυτη διαδρομή του αντιγράφου 64 bit του sapcrypto.dll στον υπολογιστή πύλης. Για παράδειγμα, C:\Users\Test\Desktop\sapcrypto.dll.

   • Εάν επιλέξετε Προσαρμογή, επικολλήστε την απόλυτη διαδρομή προς sapcrypto.dll στο πεδίο Custom SNC Library Path που εμφανίζεται στη σελίδα Διαχείριση πυλών .

9. Για όνομα συνεργάτη SNC, εισαγάγετε το όνομα SNC του διακομιστή BW. Στην περιοχή Ρυθμίσεις για προχωρημένους, βεβαιωθείτε ότι έχει επιλεγεί η Χρήση SSO μέσω Kerberos για ερωτήματα DirectQuery. Συμπληρώστε τα άλλα πεδία σαν να είχατε δημιουργήσει μια σύνδεση ελέγχου ταυτότητας των Windows από το PBI Desktop.

10. Δημιουργήστε μια μεταβλητή περιβάλλοντος συστήματος CCL_PROFILE και ορίστε την τιμή της στη διαδρομή προς sapcrypto.ini.

    

    Τα αρχεία sapcrypto .dll και .ini πρέπει να βρίσκονται στην ίδια θέση. Στο παραπάνω παράδειγμα, οι sapcrypto.ini και οι sapcrypto.dll βρίσκονται και οι δύο στην επιφάνεια εργασίας.

11. Επανεκκινήστε την υπηρεσία πύλης.

    

12. Εκτέλεση αναφοράς Power BI

Αντιμετώπιση προβλημάτων

Εάν δεν μπορείτε να ανανεώσετε την αναφορά στην υπηρεσία Power BI, μπορείτε να χρησιμοποιήσετε την ανίχνευση πύλης, την ανίχνευση CPIC και την ανίχνευση CommonCryptoLib για να διαγνώσετε το πρόβλημα. Επειδή η ανίχνευση CPIC και το CommonCryptoLib είναι προϊόντα SAP, η Microsoft δεν μπορεί να παρέχει υποστήριξη για αυτά.

Αρχεία καταγραφής πύλης

1. Αναπαραγάγετε το πρόβλημα.

2. Ανοίξτε την εφαρμογή πύλης και επιλέξτε Εξαγωγή αρχείων καταγραφής από την καρτέλα Διαγνωστικά .

   

Ανίχνευση CPIC

1. Για να ενεργοποιήσετε την ανίχνευση CPIC, ορίστε δύο μεταβλητές περιβάλλοντος: CPIC_TRACE και CPIC_TRACE_DIR.

   Η πρώτη μεταβλητή ορίζει το επίπεδο ανίχνευσης και η δεύτερη μεταβλητή ορίζει τον κατάλογο του αρχείου ανίχνευσης. Ο κατάλογος πρέπει να είναι μια θέση στην οποία μπορούν να γράψουν τα μέλη της ομάδας Εξουσιοδοτημένοι χρήστες.

2. Ορίστε CPIC_TRACE σε 3 και CPIC_TRACE_DIR σε οποιονδήποτε κατάλογο στον οποίο θέλετε να εγγραφούν τα αρχεία ανίχνευσης. Για παράδειγμα:

   

3. Αναπαραγάγετε το πρόβλημα και βεβαιωθείτε ότι CPIC_TRACE_DIR περιέχει αρχεία ανίχνευσης.

   Η ανίχνευση CPIC μπορεί να διαγνώσει ζητήματα υψηλότερου επιπέδου, όπως μια αποτυχία φόρτωσης της βιβλιοθήκης sapcrypto.dll. Για παράδειγμα, ακολουθεί ένα τμήμα κώδικα από ένα αρχείο ανίχνευσης CPIC όπου παρουσιάστηκε ένα .dll σφάλμα φόρτωσης:

   [Thr 7228] *** ERROR => DlLoadLib()==DLENOACCESS - LoadLibrary("C:\Users\test\Desktop\sapcrypto.dll")
   Error 5 = "Access is denied." [dlnt.c       255]
   

   Εάν αντιμετωπίσετε μια τέτοια αποτυχία, αλλά έχετε ορίσει τα δικαιώματα Ανάγνωση & Εκτέλεση στις sapcrypto.dll και sapcrypto.ini όπως περιγράφεται στην παραπάνω ενότητα, δοκιμάστε να ορίσετε τα ίδια δικαιώματα Ανάγνωσης & Εκτέλεσης στον φάκελο που περιέχει τα αρχεία.

   Εάν εξακολουθείτε να μην μπορείτε να φορτώσετε την .dll, δοκιμάστε να ενεργοποιήσετε τον έλεγχο για το αρχείο. Η εξέταση των αρχείων καταγραφής ελέγχου που προκύπτουν στο Πρόγραμμα προβολής συμβάντων των Windows μπορεί να σας βοηθήσει να προσδιορίσετε γιατί αποτυγχάνει η φόρτωση του αρχείου. Αναζητήστε μια καταχώρηση αποτυχίας που έχει εκκινηθεί από τον απομίμηση χρήστη AD. Για παράδειγμα, για τον απομιμούμενο χρήστη MYDOMAIN\mytestuser μια αποτυχία στο αρχείο καταγραφής ελέγχου θα μοιάζει κάπως έτσι:

   A handle to an object was requested.
   
   Subject:
       Security ID:        MYDOMAIN\mytestuser
       Account Name:       mytestuser
       Account Domain:     MYDOMAIN
       Logon ID:           0xCF23A8
   
   Object:
       Object Server:      Security
       Object Type:        File
       Object Name:        <path information>\sapcrypto.dll
       Handle ID:          0x0
       Resource Attributes:    -
   
   Process Information:
       Process ID:     0x2b4c
       Process Name:   C:\Program Files\On-premises data gateway\Microsoft.Mashup.Container.NetFX45.exe
   
   Access Request Information:
       Transaction ID:     {00000000-0000-0000-0000-000000000000}
       Accesses:           ReadAttributes
   
   Access Reasons:     ReadAttributes: Not granted
   
   Access Mask:        0x80
   Privileges Used for Access Check:   -
   Restricted SID Count:   0
   

Ανίχνευση CommonCryptoLib

1. Ενεργοποιήστε την ανίχνευση CommonCryptoLib προσθέτοντας αυτές τις γραμμές στο αρχείο sapcrypto.ini που δημιουργήσατε προηγουμένως:

   ccl/trace/level=5
   ccl/trace/directory=<drive>:\logs\sectrace
   

2. Αλλάξτε την ccl/trace/directory επιλογή σε μια θέση στην οποία μπορούν να γράψουν τα μέλη της ομάδας Εξουσιοδοτημένοι χρήστες.

3. Εναλλακτικά, δημιουργήστε ένα νέο αρχείο .ini για να αλλάξετε αυτήν τη συμπεριφορά. Στον ίδιο κατάλογο με sapcrypto.ini και sapcrypto.dll, δημιουργήστε ένα αρχείο με το όνομα sectrace.ini με το ακόλουθο περιεχόμενο. Αντικαταστήστε την DIRECTORY επιλογή με μια θέση στον υπολογιστή σας στην οποία μπορούν να γράψουν τα μέλη της ομάδας Εξουσιοδοτημένοι χρήστες:

   LEVEL = 5
   DIRECTORY = <drive>:\logs\sectrace
   

4. Αναπαραγάγετε το πρόβλημα και επαληθεύστε ότι η θέση στην οποία παραπέμπει το DIRECTORY περιέχει αρχεία ανίχνευσης .

5. Όταν τελειώσετε, απενεργοποιήστε την ανίχνευση CPIC και CCL.

   Για περισσότερες πληροφορίες σχετικά με την ανίχνευση CommonCryptoLib, ανατρέξτε στο θέμα SAP Σημείωση 2491573 (απαιτείται χρήστης SAP s-user).

Απομίμησης

Αυτή η ενότητα περιγράφει την αντιμετώπιση προβλημάτων των συμπτωμάτων και τα βήματα επίλυσης για προβλήματα απομίμησης.

Σύμπτωμα: Όταν εξετάζετε το GatewayInfo[date].log βρείτε μια καταχώρηση παρόμοια με την εξής: Σχετικά με την μίμηση του χρήστη DOMAIN\User (IsAuthenticated: True, ImpersonationLevel: Impersonation). Εάν η τιμή για το ImpersonationLevel είναι διαφορετική από τη Μίμηση, η απομίμηση δεν συμβαίνει σωστά.

Επίλυση: Ακολουθήστε τα βήματα που βρέθηκαν στο άρθρο Εκχώρηση δικαιωμάτων τοπικής πολιτικής λογαριασμού υπηρεσίας πύλης στον υπολογιστή πύλης. Επανεκκινήστε την υπηρεσία πύλης μετά την αλλαγή της ρύθμισης παραμέτρων.

Επικύρωση: Ανανεώστε ή δημιουργήστε την αναφορά και συγκεντρώστε τη .log GatewayInfo[date]. Ανοίξτε το πιο πρόσφατο αρχείο καταγραφής GatewayInfo και ελέγξτε ξανά τη συμβολοσειρά Σχετικά με την μίμηση χρήστη ΤΟΜΈΑΣ\Χρήστης (IsAuthenticated: True, ImpersonationLevel: Impersonation) για να βεβαιωθείτε ότι η τιμή για το ImpersonationLevel συμφωνεί με τη Μίμηση.

Ανάθεση

Τα ζητήματα ανάθεσης εμφανίζονται συνήθως στην υπηρεσία Power BI ως γενικά σφάλματα. Για να προσδιορίσετε εάν το πρόβλημα είναι ανάθεση, είναι χρήσιμο να συλλέξετε τις ανιχνεύσεις Wireshark και να χρησιμοποιήσετε το Kerberos ως φίλτρο. Για αναφορά σφαλμάτων Kerberos, συμβουλευτείτε αυτήν την καταχώρηση ιστολογίου. Η υπόλοιπη ενότητα περιγράφει τα βήματα αντιμετώπισης προβλημάτων και επίλυσης προβλημάτων ανάθεσης.

Σύμπτωμα: Στην υπηρεσία Power BI, ενδέχεται να αντιμετωπίσετε ένα μη αναμενόμενο σφάλμα παρόμοιο με αυτό στο παρακάτω στιγμιότυπο οθόνης. Στην gatewayInfo[date].log θα δείτε το [DM.GatewayCore] να λαμβάνει μια εξαίρεση κατά την προσπάθεια εκτέλεσης του ερωτήματος ADO για το clientPipelineId και η εισαγωγή [0D_NW_CHANN] δεν συμφωνεί με καμία εξαγωγή.

Στον .log mashup[date]βλέπετε το γενικό σφάλμα GSS-API(maj): Δεν δόθηκαν διαπιστευτήρια.

Εξετάζοντας τα ίχνη CPIC (sec-Microsoft.Mashup.trc*) θα δείτε κάτι παρόμοιο με το εξής:

[Thr 4896] *** ERROR => SncPEstablishContext() failed for target='p:CN=BW5' [sncxxall.c 3638]
[Thr 4896] *** ERROR => SncPEstablishContext()==SNCERR_GSSAPI [sncxxall.c 3604]
[Thr 4896] GSS-API(maj): No credentials were supplied
[Thr 4896] Unable to establish the security context
[Thr 4896] target="p:CN=BW5"
[Thr 4896] <<- SncProcessOutput()==SNCERR_GSSAPI
[Thr 4896]
[Thr 4896] LOCATION CPIC (TCP/IP) on local host HNCL2 with Unicode
[Thr 4896] ERROR GSS-API(maj): No credentials were supplied
[Thr 4896] Unable to establish the security context
[Thr 4896] target="p:CN=BW5"
[Thr 4896] TIME Thu Oct 15 20:49:31 2020
[Thr 4896] RELEASE 721
[Thr 4896] COMPONENT SNC (Secure Network Communication)
[Thr 4896] VERSION 6
[Thr 4896] RC -4
[Thr 4896] MODULE sncxxall.c
[Thr 4896] LINE 3604
[Thr 4896] DETAIL SncPEstablishContext
[Thr 4896] SYSTEM CALL gss_init_sec_context
[Thr 4896] COUNTER 3
[Thr 4896]
[Thr 4896] *** ERROR => STISEND:STISncOut failed 20 [r3cpic.c 9834]
[Thr 4896] STISearchConv: found conv without search

Το σφάλμα γίνεται σαφέστερο στις συνδέσεις από τον υπολογιστή πύλης sec-Microsoft.Mashup.Con-[].trc:

[2020.10.15 20:31:38.396000][4][Microsoft.Mashup.Con][Kerberos ][ 3616] AcquireCredentialsHandleA called successfully.
[2020.10.15 20:31:38.396000][2][Microsoft.Mashup.Con][Kerberos ][ 3616] InitializeSecurityContextA returned -2146893053 (0x80090303). Preparation for kerberos failed!
[2020.10.15 20:31:38.396000][2][Microsoft.Mashup.Con][Kerberos ][ 3616] Getting kerberos ticket for 'SAP/BW5' failed (user name is affonso_v@HANABQ.COM)
[2020.10.15 20:31:38.396000][2][Microsoft.Mashup.Con][Kerberos ][ 3616] Error for requested algorithm 18: 0/C000018B The security database on the server does not have a computer account for this workstation trust relationship.
[2020.10.15 20:31:38.396000][2][Microsoft.Mashup.Con][Kerberos ][ 3616] Error for requested algorithm 17: 0/C000018B The security database on the server does not have a computer account for this workstation trust relationship.
[2020.10.15 20:31:38.396000][2][Microsoft.Mashup.Con][Kerberos ][ 3616] Error for requested algorithm 23: 0/C000018B The security database on the server does not have a computer account for this workstation trust relationship.
[2020.10.15 20:31:38.396000][2][Microsoft.Mashup.Con][Kerberos ][ 3616] Error for requested algorithm 3: 0/C000018B The security database on the server does not have a computer account for this workstation trust relationship.

Μπορείτε επίσης να δείτε το πρόβλημα εάν κοιτάξετε τα ίχνη του WireShark.

Σημείωμα

Τα άλλα σφάλματα KRB5KDC_ERR_PREAUTH_REQUIRED μπορούν να αγνοηθούν με ασφάλεια.

Επίλυση: Πρέπει να προσθέσετε ένα SAP/BW5 SPN σε έναν λογαριασμό υπηρεσίας. Αναλυτικές πληροφορίες και βήματα είναι διαθέσιμα στην τεκμηρίωση του SAP.

Μπορεί να αντιμετωπίσετε ένα παρόμοιο, αλλά όχι πανομοιότυπο σφάλμα που εκδηλώνεται στις ανιχνεύσεις WireShark, όπως KRB5KDC_ERR_BADOPTION το ακόλουθο σφάλμα:

Αυτό το σφάλμα υποδεικνύει ότι το SPN SAP/BW5 μπορεί να βρεθεί, αλλά δεν βρίσκεται στην περιοχή Υπηρεσίες στις οποίες αυτός ο λογαριασμός μπορεί να παρουσιάσει διαπιστευτήρια με ανάθεση στην καρτέλα Ανάθεση για τον λογαριασμό υπηρεσίας πύλης. Για να διορθώσετε αυτό το πρόβλημα, ακολουθήστε τα βήματα για να ρυθμίσετε τις παραμέτρους του λογαριασμού υπηρεσίας πύλης για τυπική περιορισμένη ανάθεση kerberos.

Επικύρωση: Η σωστή ρύθμιση παραμέτρων θα αποτρέψει την παρουσίαση γενικών ή μη αναμενόμενων σφαλμάτων από την πύλη. Εάν εξακολουθείτε να βλέπετε σφάλματα, ελέγξτε τη ρύθμιση παραμέτρων της ίδιας της πύλης ή τη ρύθμιση παραμέτρων του διακομιστή BW.

Σφάλματα διαπιστευτηρίων

Αυτή η ενότητα περιγράφει την αντιμετώπιση προβλημάτων των συμπτωμάτων και τα βήματα επίλυσης για ζητήματα σφάλματος διαπιστευτηρίων. Μπορεί επίσης να δείτε γενικά σφάλματα από την υπηρεσία Power BI, όπως περιγράφεται στην προηγούμενη ενότητα ανάθεσης.

Υπάρχουν διαφορετικές αναλύσεις, με βάση τα συμπτώματα που βλέπετε στην προέλευση δεδομένων (SAP BW), επομένως θα εξετάσουμε και τα δύο.

Σύμπτωμα 1: Στο αρχείο sectraces sec-disp+work[].trc από τον διακομιστή BW, βλέπετε ανιχνεύσεις παρόμοιες με τις εξής:

[2020.05.26 14:21:28.668325][4][disp+work ][SAPCRYPTOLIB][435584] { gss_display_name [2020.05.26 14:21:28.668338][4][disp+work ][GSS ][435584] gss_display_name output buffer (41 bytes) [2020.05.26 14:21:28.668338][4][disp+work ][GSS ][435584] CN=DAVID@XS.CONTOSO.COM@CONTOSO.COM

Επίλυση: Ολοκληρώστε τα βήματα ρύθμισης παραμέτρων για να ορίσετε παραμέτρους ρύθμισης παραμέτρων αντιστοίχισης χρηστών στον υπολογιστή πύλης, εάν είναι απαραίτητο. Θα πρέπει να ολοκληρώσετε αυτά τα βήματα, ακόμα και αν έχετε ήδη ρυθμίσει τις παραμέτρους του Microsoft Entra Connect.

Επικύρωση: Θα μπορείτε να φορτώσετε με επιτυχία την αναφορά στην υπηρεσία Power BI. Εάν δεν μπορείτε να φορτώσετε την αναφορά, ανατρέξτε στα βήματα στο Σύμπτωμα 2.

Σύμπτωμα 2: Στο αρχείο sectraces sec-disp+work[].trc από τον διακομιστή BW, βλέπετε ανιχνεύσεις παρόμοιες με τις εξής:

[2020.10.19 23:10:15.469000][4][disp+work.EXE ][SAPCRYPTOLIB][ 4460] { gss_display_name
[2020.10.19 23:10:15.469000][4][disp+work.EXE ][GSS ][ 4460] gss_display_name output buffer (23 bytes)
[2020.10.19 23:10:15.469000][4][disp+work.EXE ][GSS ][ 4460] CN=DAVID@CONTOSO.COM

Επίλυση: Ελέγξτε εάν το εξωτερικό αναγνωριστικό Kerberos για τον χρήστη συμφωνεί με αυτό που εμφανίζονται στα δευτερόλεπτα.

1. Ανοίξτε τη σύνδεση SAP.
2. Χρησιμοποιήστε τη συναλλαγή SU01.
3. Επεξεργαστείτε τον χρήστη.
4. Μεταβείτε στην καρτέλα SNC και επαληθεύστε ότι το όνομα SNC συμφωνεί με αυτό που εμφανίζεται στα αρχεία καταγραφής σας.

Επικύρωση: Όταν ολοκληρωθεί σωστά, θα μπορείτε να δημιουργείτε και να ανανεώνετε αναφορές στην υπηρεσία Power BI.

Σχετικό περιεχόμενο

Για περισσότερες πληροφορίες σχετικά με την πύλη δεδομένων εσωτερικής εγκατάστασης και το DirectQuery, ανατρέξτε στους παρακάτω πόρους:

• Τι είναι μια πύλη δεδομένων εσωτερικής εγκατάστασης;
• DirectQuery στο Power BI
• Προελεύσεις δεδομένων που υποστηρίζονται από το DirectQuery
• DirectQuery και SAP BW
• DirectQuery και SAP HANA