Forest1-DomainA(位置 F1-A)中的 Power BI Reporting Services。
用户帐户位于 Forest2-DomainA(位置 F2-A)。
F1-A 信任 F2-A。用户登录的 VDI/RDS 位于 F1-A,服务位于 F1-A。URL 为 pbi.example.com,从 VDI/RDS 解析到托管 PBI 服务的 Windows Server 2022 计算机。在 Windows Server 2022 AD 计算机帐户上,我们创建了 SPN http/pbi.example.com。
使用来自 F1-A 域的用户登录(作为测试),工作正常。我看到了 Kerberos 票证。使用来自 F2-A 的用户登录,出现问题。Wireshark 捕获显示运行 PBI 服务的服务器正在尝试发现 F2-A 中的 PBI 服务,而不是 F1-A。PBI 服务帐户位于 F1-A 域中。
是否可以将服务配置为查看其自己的 F1-A 而不是用户的 F2-A?至少我猜这就是发生这种情况的原因。
任何关于这个问题的帮助都非常感谢!谢谢!
答案1
好吧,事实证明,对于跨林(领域),您需要将 UPN 后缀添加到处理该特定后缀身份验证的林中。然后在域和信任中的名称后缀路由选项卡中刷新两端的这些后缀,然后身份验证后,Kerberos 可以根据 SPN 确定需要在哪个林中进行身份验证。就是这样。
答案2
PowerBi 网关仅限于安装的域,因此您不能让来自域 a 的用户使用域 b 的网关。您需要在两个域中都拥有网关