Problembehebung für Kerberos

Die Vorschläge zur Problembehebung in diesem Thema sind unterteilt in Probleme in Verbindung mit Single Sign-On (einmaliges Anmelden) auf dem Server und Probleme mit den delegierten Datenquellen.

Einmaliges Anmelden bei Tableau Server (Single Sign-On)

Wenn sich ein Benutzer in einer Kerberos SSO-Umgebung über einen Webbrowser oder über Tableau Desktop bei Tableau Server anmeldet, wird möglicherweise eine Meldung mit dem Hinweis angezeigt, dass die automatische Anmeldung bei Tableau Server (per Single Sign-On) nicht möglich ist. In der Meldung wird vorgeschlagen, stattdessen einen Benutzernamen und ein Kennwort für Tableau Server anzugeben.

Beheben von Fehlern bei der Anmeldung auf dem Clientcomputer

  • Eingeben des Benutzernamens und Kennworts – Wenn Sie den allgemeinen Zugriff des Benutzers auf Tableau Server prüfen möchten, melden Sie sich an, indem Sie den Benutzernamen und das Kennwort des Benutzers eingeben.

    Wenn diese Anmeldeinformationen fehlschlagen, ist der Benutzer möglicherweise kein Tableau Server-Benutzer. Damit die einmalige Kerberos-Anmeldung funktioniert, muss der Benutzer auf Tableau Server zugreifen können, und ihm muss von Active Directory ein Ticket Granting Ticket (TGT) bereitgestellt werden (wie später in dieser Auflistung unter TGT beschrieben).

  • Überprüfen der SSO-Anmeldeinformationen anderer Benutzer – Versuchen Sie, sich mit anderen Benutzerkonten über SSO bei Tableau Server anzumelden. Wenn alle Benutzer betroffen sind, kann das Problem an der Kerberos-Konfiguration liegen.

  • Verwenden eines anderen Computers als dem Servercomputer – Die einmalige Kerberos-Anmeldung funktioniert nicht, wenn Sie sich per localhost bei Tableau Server anmelden. Clients müssen die Verbindung von einem anderen Computer als dem Tableau Server-Computer aus herstellen.

  • Verwenden eines Servernamens anstelle einer IP-Adresse – Die einmalige Kerberos-Anmeldung funktioniert nicht, wenn Sie eine IP-Adresse als Tableau Server-Namen eingeben. Zudem muss der Servername, den Sie für den Zugriff auf Tableau Server verwenden, mit dem Namen übereinstimmen, der bei der Konfiguration von Kerberos verwendet wurde (siehe unten Schlüsseltabelleneintrag).

  • Sicherstellen, dass der Client über TGT verfügt – Der Clientcomputer benötigt ein TGT (Ticket Granting Ticket) von der Active Directory-Domäne. Die beschränkte Delegierung, bei der der Proxy ein Ticket ausstellt, wird nicht unterstützt.

    Gehen Sie wie folg vor, um zu bestätigen, dass der Client-Computer über ein TGT verfügt:

    • Öffnen Sie in Windows eine Eingabeaufforderung, und geben Sie Folgendes ein: klist tgt

    • Öffnen Sie auf dem Mac ein Terminalfenster, und geben Sie Folgendes ein: klist

    Die Ausgabe sollte ein TGT für den Benutzer/die Domäne anzeigen, der/die versucht, sich bei Tableau Server zu authentifizieren.

    Der Client-Computer hat unter folgenden Umständen möglicherweise kein TGT:

    • Der Client-Computer verwendet eine VPN-Verbindung.

    • Der Client-Computer ist nicht mit der Domäne verbunden (zum Beispiel ein anderer als der Dienstcomputer, der vorübergehend für die Arbeit verwendet wird).

    • Der Benutzer hat sich am Computer mit einem lokalen (Nicht-Domänen-)Konto angemeldet.

    • Der Computer ist ein Mac, der nicht Active Directory als Netzwerkkontoserver verwendet.

  • Bestätigen der Browserversion und -einstellungen – Stellen Sie für die Webbrowser-Anmeldung sicher, dass der Browser für Kerberos unterstützt wird und ggf. korrekt konfiguriert ist.

    • Internet Explorer (IE) und Chrome können "ohne Veränderungen" unter Windows verwendet werden.

    • Safari kann "unverändert" auf dem Mac verwendet werden.

    • Für Firefox ist eine zusätzliche Konfiguration erforderlich.

    Weitere Informationen finden Sie unter Tableau-Clientunterstützung für die einmalige Anmeldung über Kerberos.

Beheben von Fehlern bei der Anmeldung auf dem Server

Wenn Sie das Problem auf dem Client-Computer nicht lösen können, führen Sie als Nächstes die Problembehebung auf dem Computer durch, der Tableau Server ausführt. Über die Anforderungs-ID kann der Administrator den Anmeldeversuch in den Apache-Protokollen von Tableau Server suchen.

  • Protokolldateien: Überprüfen Sie das Apache-Protokoll error.log auf Fehler mit der genauen Uhrzeit/dem genauen Datum des fehlgeschlagenen Anmeldeversuchs.

    • In einem ZIPLOG-Archiv befinden sich diese Protokolle im Ordner \httpd.

    • Auf Tableau Server befinden sich diese Protokolle im Ordner \data\tabsvc\logs\httpd\.

  • Schlüsseltabelleneintrag – Wenn der error.log-Eintrag Folgendes besagt: "Kein Schlüsseltabelleneintrag stimmt überein mit: HTTP/<Servername>.<Domäne>.<Org>@", Beispiel:

    [Fri Oct 24 10:58:46.087683 2014] [:error] [pid 2104:tid 4776] [client 10.10.1.62:56789] gss_acquire_cred() failed: Unspecified GSS failure. Minor code may provide more information (, No key table entry found matching HTTP/servername.domain.com@)

    Dieser Fehler ist das Ergebnis fehlender Übereinstimmung zwischen beliebigen der folgenden Elemente:

    • Tableau Server-URL: Die URL, die vom Client-Computer für den Serverzugriff verwendet wird.

      Diesen Namen geben Sie in Tableau Desktop oder in der Adresszeile eines Browsers ein. Es kann ein Kurzname (http://servername) oder ein vollständig qualifizierter Domänenname (http://servername.domain.com) sein.

    • DNS-Reverse-Lookup für die IP-Adresse des Servers.

      Damit wird ein DNS-Name mithilfe einer IP-Adresse gesucht.

      Geben Sie bei einer Eingabeaufforderung Folgendes ein:

      ping servername

      führen Sie mit der vom Ping-Befehl für den Server zurückgegebenen IP-Adresse ein DNS-Lookup aus und geben Sie Folgendes ein:

      nslookup <ip address>

      Der nslookup-Befehl gibt Netzwerkinformationen für die IP-Adresse zurück. Stellen Sie im Teil Nicht autorisierende Antwort der Antwort sicher, dass der vollständig qualifizierte Domänenname mit den folgenden konfigurierten Werten übereinstimmt: 

      • Kerberos-Keytab-Datei

      • Service Principal Name (SPN) für den Server

      Weitere Informationen zum Konfigurieren dieser Werte finden Sie unter Einführung in keytab-Anforderungen.

Kerberos-Konfigurationsskript überprüfen

Möglicherweise müssen Sie den Befehl ktpass ändern, mit dem Sie die KeyTab-Datei für Umgebungsvariablen erstellt haben, ändern. Lesen Sie die Problembehandlungsschritte im Knowledge Base-Artikel Kerberos-Skriptkonfiguration für Tableau Server kann nicht generiert werden(Link wird in neuem Fenster geöffnet).

Einmaliges Anmelden bei der Datenquelle

Fehler bei delegierten Datenquellenzugriffen

Suchen Sie in den vizqlserver-Protokolldateien nach "workgroup-auth-mode".

  • In einem ZIPLOG-Archiv befinden sich diese Protokolle im Ordner \vizqlserver\Logs.

  • Auf Tableau Server befinden sich diese Protokolle im Ordner \data\tabsvc\vizqlserver\Logs.

Suchen Sie nach "workgroup-auth-mode" in den Protokolldateien. Der Eintrag sollte lauten: "kerberos-impersonate" und nicht "as-is".

Konfiguration der Kerberos-Delegierung für mehrere Domänen

Tableau Server kann Benutzer von anderen Active Directory-Domänen delegieren. Wenn Ihre Datenbank MIT-Kerberos verwendet, müssen Sie u. U. die Zuweisung des Kerberos-Prinzipalnamens zum Datenbankbenutzer anpassen. Insbesondere müssen Sie die Datei "krb5.conf" mit Regeln für jeden Kerberos-Bereich aktualisieren, von dem aus Benutzer eine Verbindung herstellen. Verwenden Sie den Tag auth_to_local im Bereich [realms], um lokalen Benutzernamen Prinzipalnamen zuzweisen.

Beispiel: Stellen Sie sich einen Benutzer vor, EXAMPLE\jsmith, dessen Kerberos-Prinzipalname jsmith@EXAMPLE.LAN lautet. In diesem Fall legt Tableau Server einen delegierten Benutzer, jsmith@EXAMPLE, fest. Tableau Server nutzt das ältere Active Directory-Domänenalias als Kerberos-Bereich.

Die Zieldatenbank beinhaltet möglicherweise bereits eine Regel wie die Folgende, um den Benutzer jsmith@EXAMPLE.LAN dem Datenbankbenutzer jsmith zuzuweisen.

EXAMPLE.LAN = {
   RULE:[1:$1@$0](.*@EXAMPLE.LAN)s/@.*//
   DEFAULT
}

Um die Delegierung zu unterstützen, müssen Sie eine weitere Regel hinzufügen, um jsmith@EXAMPLE einem Datenbankbenutzer zuzuweisen:

EXAMPLE.LAN = {
   RULE:[1:$1@$0](.*@EXAMPLE.LAN)s/@.*//
   RULE:[1:$1@$0](.*@EXAMPLE)s/@.*//
   DEFAULT
}

Weitere Informationen finden Sie in der MIT-Kerberos-Dokumentation unter dem Thema krb5.conf(Link wird in neuem Fenster geöffnet).

Domänenübergreifende beschränkte Delegierung

In einigen domänenübergreifenden Szenarien, in denen das KDC auf einem Windows-Server vor Windows 2012 ausgeführt wird, kann die Delegierung fehlschlagen. Möglicherweise angezeigte Fehler lauten wie folgt:

  • SQL Server-Netzwerkschnittstellen: Das System kann keinen Domänencontroller kontaktieren, um die Authentifizierungsanforderung zu bearbeiten. Versuchen Sie es später erneut.
  • Nativer SQL Server-Client: SSPI-Kontext kann nicht generiert werden.
  • Der Domänencontroller gibt Folgendes zurück: KRB-ERR-POLICY error with a status STATUS_CROSSREALM_DELEGATION_FAILURE (0xc000040b).

Domänenübergreifend bezieht sich auf ein Szenario, in dem Tableau Server in einer anderen Domäne als die Datenquelle und mit anderen Dienstkonten ausgeführt wird. Beispiel:

  • Tableau Server wird in DomäneA mit dem Dienstkonto für DomäneA ausgeführt.
  • SQL Server wird in DomäneB mit dem Dienstkonto für DomäneB ausgeführt.

Die herkömmliche beschränkte Delegierung funktioniert nur dann, wenn sich beide Server in derselben Domäne befinden. Der Benutzer kann aus anderen Domänen stammen.

Wenn die oben genannten Fehler angezeigt werden, sollte Ihr Active Directory-Administrator zum Ermöglichen dieses Szenarios die herkömmlichen beschränkten Delegierungen entfernen, die für das Delegierungskonto konfiguriert sind. Das Entfernen der Delegierung kann mithilfe von Active Directory-Verwaltungstools oder durch Entfernen der Werte erreicht werden, die mit der Active Directory-Eigenschaft msDS-AllowedToDelegateTo. verknüpft sind.

Wenn Sie eine vorhandene einzelne Domänendelegierung neben einer domänenübergreifenden Delegierung beibehalten möchten, müssen Sie beide Delegierungen mithilfe der ressourcenbasierten beschränkten Delegierung konfigurieren.

Für weitere Informationen zu Kerberos und eingeschränkter Delegation, siehe die Microsoft-Themenseite Kerberos Constrained Delegation Overview(Link wird in neuem Fenster geöffnet).

Webdokumenterstellung

Es gibt zwei Szenarien für die Webdokumenterstellung, die die Kerberos-Delegierung nicht unterstützen: Die Funktionen "Mit Daten im Web verbinden" und "Datenquelle im Web erstellen" unterstützen die Delegierung noch nicht. Wenn Sie eine Datenquelle erstellen, die Kerberos mit der Webdokumenterstellung verwendet, nutzt die Datenquelle die Authentifizierung über das Dienstkonto "Ausführen als". Wenn Sie die Kerberos-Delegierung zum Erstellen einer Datenquelle verwenden möchten, müssen Sie mit Tableau Desktop veröffentlichen. Weitere Informationen zum Dienstkonto "Ausführen als" finden Sie unter Datenzugriff mit dem Konto "Als Dienst ausführen".

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.