Konfigurieren von Dienstkonten und Kennwörtern in Reporting Services

Aktualisiert: 15. September 2007

In Reporting Services werden Servervorgänge von einem Windows- und einem Webdienst unterstützt. In diesem Thema werden die Standardkonten zum Ausführen dieser Dienste beschrieben, und es wird beschrieben, wie die Konten anfangs konfiguriert werden und wie ein anderes Konto oder ein anderes Kennwort angegeben wird. Weitere Informationen zu den einzelnen Diensten finden Sie unter Verwalten des Berichtsserver-Webdienstes und -Windows-Dienstes.

Standardkonten und Anfangskonfiguration

Der Berichtsserver-Windows-Dienst kann unter einem integrierten Konto oder einem Domänenbenutzerkonto ausgeführt werden. Das Windows-Dienstkonto wird immer beim Setup konfiguriert. Wenn Sie Optionen auf der Seite Dienstkonto angeben, stellt das SQL Server-Setup Optionen zum Auswählen eines Domänenbenutzerkontos oder des integrierten Kontos Lokales System bereit. Sie müssen einen dieser Kontotypen auswählen, damit das Setup fortgesetzt wird.

Hinweis:
Das Setup stellt keine Optionen zum Angeben aller möglichen Dienstkonten bereit. Beispielsweise können Sie nicht NetworkService angeben. Wenn Sie NetworkService verwenden möchten, können Sie die Eigenschaften des Dienstkontos nach Abschluss des Setups mit dem Reporting Services-Konfigurationstool ändern.

Der Berichtsserver-Webdienst hat immer die Identität des ASP.NET-Arbeitsprozesses. Die Kontoinformationen für den Webdienst können während oder nach der Installation festgelegt werden. Wenn Sie die Installationsoption für die Standardkonfiguration auswählen, können die Informationen während der Installation festgelegt werden. Andernfalls werden sie nach der Installation festgelegt, wenn Sie das virtuelle Verzeichnis des Berichtsserververs im Reporting Services-Konfigurationstool angeben. In beiden Fällen entsprechen die Anfangseinstellungen für den Berichtsserver-Webdienst den Standardeinstellungen, die durch ASP.NET und die von Ihnen verwendete Version von Microsoft Internetinformationsdienste (IIS) festgelegt sind:

• In IIS 7.0 unter Windows Vista wird Reporting Services als ältere Anwendung ausgeführt. In IIS 7.0 können Berichtsserveranwendungen die Standardsicherheitsidentität für ASP.NET (IWAM_>machinename<) nicht verwenden. Stattdessen sollten Sie neue Anwendungspools erstellen, die als Netzwerkdienst oder als Domänenbenutzerkonto mit Minimalberechtigungen ausgeführt werden.
• In IIS 6.0 unter Microsoft Windows Server 2003 wird der ASP.NET-Arbeitsprozess unter der Sicherheitsidentität des Anwendungspools ausgeführt, der den Prozess enthält. Es kann mehrere ASP.NET-Arbeitsprozesse geben, die alle in einem eigenen Anwendungspool enthalten sind, der eine eigene Sicherheitsidentität hat. Die Standardsicherheitsidentität ist NetworkService. NetworkService ist die Sicherheitsidentität des Standardanwendungspools, der Einstellungen bereitstellt, die von jedem nachfolgend erstellten neuen Anwendungspool geerbt werden. Wenn ein Berichtsserver konfiguriert wird, wird dem Berichtsserver-Webdienst ein dedizierter Anwendungspool zugewiesen, der für den Dienst erstellt wird, wenn Sie das virtuelle Verzeichnis des Berichtsserververs angeben. Da dieser Anwendungspool die Sicherheitsidentität des Standardanwendungspools erbt, wird üblicherweise das Konto NetworkService zum Ausführen des Berichtsserver-Webdienstes verwendet.
• In IIS 5.0 unter Windows 2000 Server oder in IIS 5.01 unter Windows XP gibt es ein einziges ASP.NET-Arbeitsprozesskonto für alle ASP.NET-Anwendungen, die auf dem Computer ausgeführt werden. Standardmäßig wird ASP.NET unter einem eigenen Konto als Computername\ASPNET ausgeführt. Wenn Sie ein anderes Konto verwenden möchten, müssen Sie ASP.NET so konfigurieren, dass es unter diesem Konto ausgeführt wird. Das Reporting Services-Konfigurationstool stellt keine Optionen bereit, um das ASP.NET-Konto festzulegen. Sie müssen das <processModel>-Element in der Datei Machine.config ändern, wenn Sie ein benutzerdefiniertes Konto für alle ASP.NET-Anwendungen verwenden möchten, die auf dem Server ausgeführt werden.

Verwenden Sie das Reporting Services-Konfigurationstool, um die Kontoinformationen für beide Dienste anzuzeigen. Das Tool schließt die Seiten Webdienstidentität und Windows-Dienstidentität ein, auf denen die Dienstkontoinformationen angezeigt werden.

Ändern der Dienstkonten und Kennwörter für einen in SharePoint integrierten Berichtsserver

Wenn Sie einen Berichtsserver im integrierten SharePoint-Modus ausführen, müssen Sie die Dienstkontoinformationen aktualisieren, die in der SharePoint-Konfigurationsdatenbank gespeichert sind, wenn eine der folgenden Bedingungen zutrifft:

• Eines der Reporting Services-Dienstkonten wird geändert (beispielsweise der Wechsel von Netzwerkdienst zu einem Domänenbenutzerkonto).
• Eine SharePoint-Farm wird um eine zusätzliche SharePoint-Webanwendung erweitert. Wenn die Serverfarm für die Berichtsserverintegration konfiguriert ist und eine neu hinzugefügte Anwendung für die Ausführung unter einem anderen Benutzerkonto als dem der anderen Anwendungen in der Farm konfiguriert wird, müssen Sie die Datenbankzugriffsinformationen aktualisieren

Nachdem Sie die Datenbankzugriffsinformationen zurückgesetzt haben, sollten Sie den Windows SharePoint Services-Dienst neu starten, um sicherzustellen, dass die alte Verbindung nicht länger verwendet wird.

So aktualisieren Sie Anmeldeinformationen und starten den Windows SharePoint Services-Dienst neu

1. Klicken Sie in der Verwaltung auf SharePoint 3.0-Zentraladministration.
2. Klicken Sie auf Anwendungsverwaltung.
3. Klicken Sie im Reporting Services-Bereich auf Datenbankzugriff erteilen.
4. Klicken Sie auf OK. Das Dialogfeld Anmeldeinformationen eingeben wird geöffnet.
5. Geben Sie die Anmeldeinformationen eines Benutzers ein, der Mitglied der lokalen Administratorengruppe auf dem Computer ist, der den Berichtsserver hostet. Die Anmeldeinformationen werden für die einmalige Verbindung zum Berichtsservercomputer verwendet, mit dem Zweck, Dienstkontoinformationen abzurufen. Die Datenbankanmeldung, die für jedes Dienstkonto erstellt wird, wird in den SharePoint-Datenbanken aktualisiert.
6. Um den Dienst neu zu starten, klicken Sie auf Vorgänge.
7. Klicken Sie in Topologie und Dienste auf Dienste auf dem Server.
8. Klicken Sie für die Windows SharePoint Services-Webanwendung auf Beenden.
9. Warten Sie, bis der Dienst beendet wurde.
10. Klicken Sie auf Starten.

Weitere Informationen finden Sie unter Vorgehensweise: Konfigurieren des Berichtsserver-Integrationsfeatures in der SharePoint-Zentraladministration.

Festlegen von Anwendungspooleigenschaften in IIS 7.0 unter Windows Vista

Wenn die ASP.NET-Prozessidentität auf IWAM_<machinename> festgelegt ist, kommt es zu Fehlern, wenn Sie die Webdienstidentität im Reporting Services-Konfigurationstool ändern.

Wenn Sie auf der Seite Webdienstidentität sehen, dass die ASP.NET-Dienstidentität auf IWAM_<machinename> festgelegt ist, und Klassischer .NET AppPool als Berichtsserver-Anwendungspool auswählen, wird die folgende Fehlermeldung angezeigt, wenn Sie auf Anwenden klicken:

Webdienstidentität wird festgelegt. Fehler beim Festlegen der Identität für den Webdienst. Die zuvor festgelegte Identität wird weiter verwendet.

Sie können diesen Fehler umgehen, indem Sie die Anwendungspooleinstellungen ändern.

So ändern Sie die Anwendungspooleinstellungen

1. Starten Sie das Konfigurationstool für Reporting Services.
2. Klicken Sie auf der Seite Webdienstidentität unter Berichtsserver auf den Pfeil nach unten, und erstellen oder wählen Sie einen Anwendungspool. Reporting Service erfordert es, dass für den Anwendungspool, den Sie auswählen, die Option Verwalteter Pipelinemodus auf Klassisch festgelegt wird. Um zur prüfen, ob diese Anforderung erfüllt ist, verwenden Sie den IIS-Manager zum Anzeigen der Anwendungspooleigenschaften.
3. Klicken Sie auf Anwenden. Beachten Sie, dass der Fehler auftritt.
4. Nehmen Sie die gleiche Auswahl noch einmal vor, und klicken Sie erneut auf Anwenden. Wenn die Auswahl gültig ist, wird sie beim zweiten Versuch akzeptiert. Wenn die Auswahl nicht gültig ist, tritt der Fehler wieder auf. Sie sollten dann entweder einen anderen Anwendungspool auswählen oder ermitteln, warum der Fehler auftritt (möglicherweise ist das Konto ungültig).
5. Setzen Sie IIS zurück, damit die geänderten Einstellungen erkannt werden.
6. Klicken Sie auf Start, Alle Programme, und dann auf Zubehör.
7. Klicken Sie mit der rechten Maustaste auf Eingabeaufforderung.
8. Wählen Sie Als Administrator ausführen aus. Klicken Sie auf Weiter.
9. Geben Sie IISRESET ein, und drücken Sie die Eingabetaste.

Ändern der Dienstkonten und Kennwörter

Sie können die Dienstkonten, die Kennwörter oder beides ändern. Anweisungen zum Angeben eines Kontos, nachdem Sie sich für ein zu verwendendes Konto entschieden haben, finden Sie unter Vorgehensweise: Konfigurieren von Dienstkonten (Reporting Services-Konfiguration).

Wenn Sie ein neues Konto auswählen, werden für das neue Konto eine Anmeldung und Datenbankberechtigungen erstellt. Insbesondere wird das Konto RSExecRole hinzugefügt. Konten, die zuvor hinzugefügt wurden, werden nicht aus dieser Rolle entfernt. Sie müssen die nicht mehr verwendeten Rollen manuell entfernen. Weitere Informationen finden Sie unter Verwalten einer Berichtsserver-Datenbank.

Auswählen eines anderen Kontos

Sie können die Berichtsserver-Webdienst- und Windows-Dienstkonten so konfigurieren, dass sie mit benutzerdefinierten Werten ausgeführt werden. Es gibt nicht den einen idealen Ansatz zum Auswählen eines Kontotyps. Jedes Konto hat Vor- und Nachteile, die Sie berücksichtigen sollten. Wenn Sie Reporting Services auf einem Produktionsserver bereitstellen, empfiehlt es sich, die Konten so zu konfigurieren, dass sie unter einem Benutzerkonto ausgeführt werden, das von einem einzigen Dienst oder einer einzigen Anwendung verwendet wird. Die folgenden Richtlinien und Links in diesem Abschnitt können Ihnen helfen, den für Ihre Bereitstellung am besten geeigneten Ansatz zu finden.

Ändern eines Kennwortes vor dem Ablaufen

Zum Zurücksetzen des Kennwortes verwenden Sie das Reporting Services-Konfigurationstool. Befolgen Sie die folgenden Anweisungen: Vorgehensweise: Konfigurieren von Dienstkonten (Reporting Services-Konfiguration).

Hinweis:
Wenn das Kennwort des Dienstkontos für das Datenbankmodul abgelaufen ist, tritt beim Versuch, eine Verbindung mit dem Berichtsserver herzustellen, der Fehler rsReportServerDatabaseUnavailable auf. Durch Zurücksetzen des Kennwortes wird der Fehler behoben. Den vollständigen Text der Fehlermeldung finden Sie unter Problembehandlung bei Server- und Datenbankverbindungsproblemen.

Ändern eines abgelaufenen Kennwortes für den Berichtsserver-Windows-Dienst

Wenn der Berichtsserver-Windows-Dienst unter einem Domänenkonto ausgeführt wird und das Kennwort abläuft, ist der Dienst nicht mehr verfügbar, bis Sie ein neues Kennwort angeben. Klicken Sie zum Zurücksetzen des Kennwortes auf das Menü Start, zeigen Sie auf Systemsteuerung, dann auf Verwaltung, und klicken Sie auf Dienste. Klicken Sie mit der rechten Maustaste auf SQL Server Reporting Services, wählen Sie Eigenschaften aus, klicken Sie auf Anmelden, und geben Sie das neue Kennwort ein. Nachdem Sie das Kennwort aktualisiert haben, starten Sie das Reporting Services-Konfigurationstool, und aktualisieren Sie das Kenwort auf der Seite Windows-Dienstidentität. Dieser zusätzliche Schritt ist erforderlich, um die Kontoinformationen zu aktualisieren, die intern vom Berichtsserver gespeichert werden.

Abhängigkeiten von der Berichtsserver-Windows-Dienstidentität

Wenn Sie das Berichtsserver-Windows-Dienstkonto ändern, kann sich dies auf Vorgänge des Berichtsservers auswirken. Daher ist es wichtig, dass Sie zum Ändern eines Dienstkontos immer das Reporting Services-Konfigurationstool verwenden. Vom Reporting Services-Konfigurationstool werden die folgenden zusätzlichen Schritte ausgeführt, um sicherzustellen, dass der Berichtsserver verfügbar bleibt:

• Der Verschlüsselungsschlüssel wird automatisch aktualisiert, sodass er die Profilinformationen des neuen Kontos enthält. Da die Verschlüsselung ausschließlich durch den Berichtsserver-Windows-Dienst ausgeführt wird, müssen die Schlüssel beim Zurücksetzen des Windows-Dienstes aktualisiert werden.

  Hinweis:
  Wenn der Berichtsserver Teil einer Bereitstellung für dezentrales Skalieren ist, ist nur der Berichtsserver betroffen, den Sie aktualisieren. Auf die Verschlüsselungsschlüssel für andere Berichtsserver in der Bereitstellung hat die Änderung des Dienstkontos keine Auswirkung.

• Die Anmeldeberechtigungen der SQL Server-Datenbankmodulinstanz, die die Berichtsserver-Datenbank hostet, werden automatisch aktualisiert. Wenn Sie die Verbindung zur Datenbank mithilfe der Dienstkonten herstellen, hat Reporting Services beim anfänglichen Konfigurieren der Verbindung SQL Server Anmeldeberechtigungen für die Dienstkonten erteilt. Wenn Sie das Windows-Dienstkonto zurücksetzen, müssen die Verbindungsinformationen aktualisiert werden.
• Die neuen Konten werden automatisch der auf dem lokalen Computer erstellten Gruppe mit Berichtsservern hinzugefügt. Diese Gruppe wird in den Zugriffssteuerungslisten (Access Control Lists, ACLs) angegeben, die Reporting Services-Dateien schützen.

Siehe auch

Aufgaben

Vorgehensweise: Konfigurieren von Dienstkonten (Reporting Services-Konfiguration)
Vorgehensweise: Starten der Reporting Services-Konfiguration

Konzepte

Konfigurieren von virtuellen Verzeichnissen für den Berichtsserver
Verwalten des Berichtsserver-Webdienstes und -Windows-Dienstes
Verbindungen und Konten in einer Reporting Services-Bereitstellung
Starten und Beenden des Berichtsserver-Windows-Dienstes

Andere Ressourcen

Ändern von Kennwörtern und Benutzerkonten
Webdienstidentität - Windows Server 2003 (Reporting Services-Konfiguration)
Windows-Dienstidentität (Reporting Services-Konfiguration)
Bereitstellen von Reporting Services
Einrichten von Windows-Dienstkonten

Hilfe und Informationen

Informationsquellen für SQL Server 2005

Änderungsverlauf