Vorgehensweise: Konfigurieren von Dienstkonten (Reporting Services-Konfiguration)

  • Artikel

Neu: 12. Dezember 2006

Zum Angeben der Dienstkonten in einer Reporting Services-Installation verwenden Sie das Reporting Services-Konfigurationstool, sodass andere Einstellungen, die von der Dienstidentität abhängen, gleichzeitig aktualisiert werden können.

Der Berichtsserver-Webdienst wird in Internetinformationsdienste (IIS) 6.0 standardmäßig unter dem Konto Netzwerkdienst und in IIS 5.0 standardmäßig unter dem ASP.NET-Konto ausgeführt. Sie können die Einstellungen für den Webdienst ändern, sodass er unter einem anderen Konto ausgeführt wird. Wenn Sie ein Domänenkonto verwenden, sind möglicherweise weitere Schritte erforderlich, bevor der Dienst voll funktionsfähig ist.

Der Berichtsserver-Windows-Dienst wird unter einem Konto ausgeführt, das Sie beim Setup angeben. Sie können die Einstellungen jedoch ändern, sodass es unter einem anderen Konto ausgeführt wird, oder ein Kennwort aktualisieren, falls das vorherige Kennwort abläuft.

Bb326419.note(de-de,SQL.90).gifWichtig:
Wenn Sie die Identitätseinstellungen des Berichtsserver-Windows-Dienstes ändern, wird jeder Schritt beim Aktualisieren des Dienstkontos im Aufgabenbereich unten auf der Seite aufgezeichnet. Der Berichtsserver-Windows-Dienst wird während der Kontoaktualisierung beendet und neu gestartet. Zu den Fehlern, die auftreten können, gehören Anmeldefehler (z. B. falsche Eingabe von Konto oder Kennwort). Für den unwahrscheinlichen Fall, dass der symmetrische Schlüssel nicht wiederhergestellt wird, können Sie diesen Schritt selbst ausführen, indem Sie auf der Seite mit Verschlüsselungsschlüsseln auf Wiederherstellen klicken. Öffnen Sie einen Bericht, in dem gespeicherte Anmeldeinformationen verwendet werden, um zu überprüfen, ob das Konto ordnungsgemäß zurückgesetzt wurde. Wenn Sie die Sicherungskopie des Schlüssels nicht wiederherstellen können, müssen Sie den verschlüsselten Inhalt löschen. Weitere Informationen finden Sie unter Löschen und erneutes Erstellen von Verschlüsselungsschlüsseln und Sichern und Wiederherstellen von Verschlüsselungsschlüsseln.

Einige der Schritte zum Konfigurieren der Webdienstkonten werden in anderen Artikeln, die auf der MSDN-Website veröffentlicht sind, beschrieben. Weitere Informationen zum Konfigurieren von Webdienstkonten finden Sie auf der MSDN-Website unter How to create a service account for an ASP.NET 2.0 Application (in Englisch).

Sie müssen Domänenadministrator sein, um Domänenkonten erstellen zu können.

So konfigurieren Sie den Berichtsserver-Windows-Dienst

  1. Starten Sie das Reporting Services-Konfigurationstool, und stellen Sie eine Verbindung zum Berichtsserver her.

  2. Geben Sie auf der Seite Windows-Dienstidentität das neue Konto und Kennwort an. Klicken Sie auf Anwenden.

  3. Geben Sie bei der Aufforderung zum Sichern des symmetrischen Schlüssels ein Kennwort und einen Dateinamen für die Sicherung des symmetrischen Schlüssels ein, und klicken Sie auf OK.

So konfigurieren Sie den Berichtsserver-Webdienst für die Verwendung eines Domänenkontos in IIS 6.0

  1. Erstellen Sie ein neues Domänenbenutzerkonto mithilfe des Tools Active Directory-Benutzer und -Computer in der Systemsteuerung. Geben Sie dem Konto einen beschreibenden Namen. Deaktivieren Sie die Option Benutzer muss Kennwort bei der nächsten Anmeldung ändern, und aktivieren Sie die Option Kennwort läuft nie ab. Weisen Sie dem Konto ein sicheres Kennwort zu. Sichere Kennwörter müssen mindestens sieben Zeichen enthalten und aus einer Mischung aus Groß- und Kleinbuchstaben, Zahlen und anderen Zeichen z. B. *, ? oder $ bestehen.

  2. Weisen Sie dem neuen Konto ASP.NET-Berechtigungen zu, indem Sie den folgenden Befehl in einem Befehlsfenster ausführen:

    aspnet_regiis -gaDomänenname\Kontoname

  3. Starten Sie den IIS-Manager.

  4. Klicken Sie unter Anwendungspools mit der rechten Maustaste auf Berichtsserver, und klicken Sie dann auf Eigenschaften.

  5. Klicken Sie auf Identität.

  6. Geben Sie das Domänenbenutzerkonto ein. Der Kontoname darf nicht länger als 20 Zeichen sein.

  7. Starten Sie das Reporting Services-Konfigurationstool, und stellen Sie eine Verbindung mit dem Berichtsserver her.

  8. Öffnen Sie die Seite Webdienstidentität, um den soeben konfigurierten Anwendungspool auszuwählen.

  9. Klicken Sie auf Anwenden.

Wenn die Netzwerkkonfiguration die Kerberos-Authentifizierung vorsieht, muss der Domänenadministrator möglicherweise einen Dienstprinzipalnamen (Service Principal Name, SPN) erstellen, der das Domänenkonto für die Website registriert. Andernfalls treten eventuell Fehler des Typs HTTP 401 (Zugriff verweigert) auf. Stellen Sie sicher, dass das von Ihnen registrierte Domänenkonto auch für den Anwendungspool verwendet wird. Weitere Informationen finden Sie auf der Microsoft TechNet-Website unter Configuring Constrained Delegation for Kerberos (IIS 6.0) (in Englisch).

So konfigurieren Sie den Berichtsserver-Webdienst für die Verwendung eines Domänenkontos in IIS 5.0

  1. Erstellen Sie ein neues Domänenbenutzerkonto mithilfe des Tools Active Directory-Benutzer und -Computer in der Systemsteuerung. Geben Sie dem Konto einen beschreibenden Namen. Deaktivieren Sie die Option Benutzer muss Kennwort bei der nächsten Anmeldung ändern, und aktivieren Sie die Option Kennwort läuft nie ab. Weisen Sie dem Konto ein sicheres Kennwort zu. Sichere Kennwörter müssen mindestens sieben Zeichen enthalten und aus einer Mischung aus Groß- und Kleinbuchstaben, Zahlen und anderen Zeichen, z. B. *, ? oder $, bestehen.

  2. Speichern Sie eine verschlüsselte Kopie des Benutzerkontos und des Kennwortes in der Registrierung. In einem nachfolgenden Schritt verweisen Sie in der Datei Machine.config auf diesen Registrierungseintrag.

    1. Downloaden Sie das Dienstprogramm aspnet_setreg.exe unter Verwenden des ASP.NET-Dienstprogramms zum Verschlüsseln von Anmeldeinformationen und Verbindungszeichenfolgen mit dem Sitzungsstatus auf www.support.microsoft.com.

    2. Führen Sie den folgenden Befehl in der Befehlszeile aus, und ersetzen Sie die Domäne, den Benutzernamen und das Kennwort durch gültige Werte für das Konto, das Sie in Schritt 1 erstellt haben.

      aspnet_setreg -k:Software\MyASPNetApp\Identity -u:"domainname\username" -p:"password"

  3. Öffnen Sie Machine.config mit Microsoft Visual Studio oder dem Editor. Machine.config befindet sich im Ordner C:\WINNT\Microsoft.NET\Framework\v1.1.4322\CONFIG. Ändern Sie die Konfigurationsdatei, sodass sie auf den soeben erstellten Registrierungsschlüssel verweist. Geben Sie hierzu Folgendes ein:

    1. Suchen Sie das Element <identity impersonate="false" userName="" password=""/>.

    2. Ersetzen Sie es durch die folgenden Einträge:

      <identity impersonate="true" 
userName="registry:HKLM\Software\MyASPNetApp\Identity\ASPNET_SETREG,userName" 
password="registry:HKLM\Software\MyASPNetApp\Identity\ASPNET_SETREG,password"/>

  4. Führen Sie den Registrierungs-Editor aus, um dem Konto Leseberechtigungen zu erteilen:

    1. Suchen Sie den Registrierungseintrag Arbeitsplatz/HKEY_LOCAL_MACHINE/SOFTWARE/MyASPNetApp/Identity/ASPNET_SETREG.
    2. Klicken Sie mit der rechten Maustaste auf ASPNET_SETREG, und klicken Sie dann auf Berechtigungen.
    3. Klicken Sie auf Hinzufügen.
    4. Geben Sie das Benutzerkonto ein, das Sie in Schritt 1 erstellt haben, und klicken Sie auf OK.
    5. Wählen Sie das Konto aus, klicken Sie auf Vollzugriff, und klicken Sie dann auf OK.

  5. Weisen Sie Dateiberechtigungen für den ASP.NET-Ordner für temporäre Dateien zu.

    1. Wechseln Sie zu 'C:\WINNT\Microsoft.NET\Framework\V1.0.4322\Temporary ASP.NET Files'.
    2. Klicken Sie mit der rechten Maustaste auf Temporary ASP.NET Files, und klicken Sie dann auf Eigenschaften.
    3. Klicken Sie auf Sicherheit, klicken Sie auf Hinzufügen, geben Sie das Konto ein, und wählen Sie es aus, damit Sie Berechtigungen für das Konto angeben können.
    4. Klicken Sie auf Schreiben, und klicken Sie dann auf OK.

  6. Fügen Sie das Konto zu den Windows-Sicherheitsgruppen des Berichtsservers hinzu:

    1. Zeigen Sie auf Start und dann auf Verwaltung, und klicken Sie auf Computerverwaltung.
    2. Öffnen Sie Lokale Benutzer und Gruppen, und wählen Sie Gruppen aus.
    3. Klicken Sie mit der rechten Maustaste auf SQLServer2005ReportingServicesWebServiceUser$<Computername>$<Instanzname>.
    4. Klicken Sie auf Zur Gruppe hinzufügen.
    5. Klicken Sie auf Hinzufügen.
    6. Geben Sie das Konto ein, und klicken Sie auf OK.
    Bb326419.note(de-de,SQL.90).gifHinweis:
    Viele der Schritte dieses Verfahrens sind auf der MSDN-Website unter "Building Secure ASP.NET Applications: Authentication, Authorization, and Secure Communication" (in Englisch) beschrieben. Weitere Informationen zu diesen Schritten erhalten Sie, indem Sie auf der MSDN-Website nach diesem Dokument suchen. Weitere Informationen zum Verwenden des Dienstprogramms aspnet_setreg.exe finden Sie unter Verwenden des ASP.NET-Dienstprogramms zum Verschlüsseln von Anmeldeinformationen und Verbindungszeichenfolgen mit dem Sitzungsstatus auf www.support.microsoft.com.

Siehe auch

Aufgaben

Vorgehensweise: Starten der Reporting Services-Konfiguration

Konzepte

Konfigurieren von Dienstkonten und Kennwörtern in Reporting Services
Verwalten des Berichtsserver-Webdienstes und -Windows-Dienstes

Andere Ressourcen

Windows-Dienstidentität (Reporting Services-Konfiguration)
Webdienstidentität - Windows Server 2003 (Reporting Services-Konfiguration)
Webdienstidentität (Reporting Services-Konfiguration)

Hilfe und Informationen

Informationsquellen für SQL Server 2005