확장된 보호 문제 해결(Reporting Services)

• RSWindowsExtendedProtectionLevel 및 RSWindowsExtendedProtectionScenario 설정은 rsreportserver.config 파일에 저장됩니다. 구성 설정에 대한 자세한 내용은 Reporting Services 인증에 대한 확장된 보호를 참조하십시오.

• WMI API를 사용합니다. 자세한 내용은 SetExtendedProtectionSettings 메서드(WMI MSReportServer_ConfigurationSetting)를 참조하십시오.

• reportserverservice 추적 로그 파일에 현재 설정을 나타내는 항목이 포함됩니다. 추적 로그 항목은 보고서 서버 서비스를 시작할 때 기록됩니다. 추적 로그 항목은 다음과 비슷합니다.

library!DefaultDomain!698!12/29/2009-10:14:49:: i INFO: 구성 파일에 지정된 대로 RSWindowsExtendedProtectionLevel을 'Off'로 초기화합니다.

library!DefaultDomain!698!12/29/2009-10:14:49:: i INFO: 구성 파일에 지정된 대로 RSWindowsExtendedProtectionScenario를 'Proxy'로 초기화합니다.

보고서 서버의 서비스 추적 로그 파일에 다음과 비슷한 항목이 포함됩니다.

http!rshost!ec0!12/29/2009-11:01:37:: i INFO: 오류 상태로 인해 인증 실패했습니다. 46

이 항목의 끝 부분에 나오는 error states 목록에서 오류 상태 번호 및 추가 정보를 참조하십시오.

reportingservicesservice.exe.config 구성 파일을 업데이트하여 자세한 로깅을 사용합니다. <RStrace> 섹션에서 다음과 같이 설정합니다.

<add name=”Components” value=”all:4” /> 

• 서비스를 다시 시작합니다.

• 자세한 로깅을 사용하면 인증 시 채널 바인딩, 서비스 바인딩 또는 둘 모두에 대한 확인이 수행되고 있음을 나타내는 다음과 비슷한 줄이 기록됩니다.

http!rshost!ec0!12/29/2009-11:01:37:: v VERBOSE: 프록시로 채널 바인딩 확인을 수행하고 있습니다.

http!rshost!7b0!12/29/2009-11:26:23:: v VERBOSE: 서비스 바인딩 확인을 수행하고 있습니다.

자세한 내용은 ReportingServicesService 구성 파일을 참조하십시오.

Microsoft SQL 클라이언트는 SQL Server 2008 R2가 릴리스될 당시 확장된 보호를 지원하도록 업데이트되지 않았습니다. SQL 클라이언트는 SQL Server 데이터 원본 및 Reporting Services 카탈로그 데이터베이스에 연결하는 데 사용됩니다. SQL 클라이언트의 이러한 제한은 다음과 같은 방식으로 Reporting Services에 영향을 줍니다.

• Reporting Services 카탈로그 데이터베이스를 실행하는 SQL Server에서 확장된 보호를 사용할 수 없습니다. 사용할 경우 보고서 서버에서 카탈로그 데이터베이스에 연결되지 않고 인증 오류가 반환됩니다.

• Reporting Services 보고서 데이터 원본으로 사용되는 모든 SQL Server에서 확장된 보호를 사용할 수 없습니다. 사용할 경우 보고서 서버에서 보고서 데이터 원본에 연결하려는 시도가 실패하고 인증 오류가 반환됩니다. 이 문제를 해결하려면 SQL 클라이언트가 아니라 기본 공급자를 사용하도록 Reporting Services 데이터 원본을 변경해야 합니다. 예를 들어 ODBC 드라이버를 사용하도록 데이터 원본을 구성하면 확장된 보호를 지원하는 SQL Native Client가 사용됩니다.

rsreportserver.config 구성 파일의 RSWindowsExtendedProtectionScenario 설정에 따라 동작이 달라집니다.

RSWindowsExtendedProtectionScenario가 Direct로 설정되어 있고 SSL이 없는 경우

RSWindowsExtendedProtectionScenario가 Proxy로 설정되어 있고 SSL이 없는 경우

이 시나리오는 Windows 7 및 Windows 2008 R2 이전의 운영 체제에만 적용됩니다. 이전 버전의 Windows는 처음부터 확장된 보호 기능과 함께 릴리스되지 않았기 때문에 이전 버전 운영 체제가 설치된 컴퓨터에는 .NET Framework용 확장된 보호 업데이트를 비롯하여 모든 확장된 보호 업데이트가 없을 수 있습니다.

RSWindowsExtendedProtectionLevel이 Allow나 Require일 경우 확장된 보호를 지원하는 운영 체제에서 실행되는 클라이언트 응용 프로그램은 채널 바인딩 및 필요에 따라 서비스 바인딩을 제공해야 합니다. 이 예에서는 다음과 같습니다.

• Windows 확장된 보호 업데이트의 일부로 Internet Explorer가 확장된 보호를 사용할 수 있도록 업데이트되었습니다.

• 그러나 .NET Framework는 패치되지 않았습니다. 보고서 작성기 및 Management Studio와 같은 .NET 클라이언트에는 .NET Framework가 필요합니다.

이 문제를 진단하려면 확장된 보호를 사용하지 않도록 설정하고 .NET 클라이언트 응용 프로그램이 연결할 수 있는지 확인합니다. 확장된 보호를 사용하지 않도록 설정하려면 다음을 수행합니다.

1. RSReportServer.config 파일에서 RSWindowsExtendedProtectionLevel을 Off로 설정합니다.

2. 보고서 서버 서비스를 다시 시작합니다.

문제를 해결하려면 .NET Framework 업데이트를 모두 다운로드합니다.

루프백 인증을 수행할 때는 운영 체제에서 인증 메커니즘을 건너뛰고 채널 바인딩을 적용하지 않습니다.

따라서 HTTP 연결을 사용하며 구성 설정이 다음과 같다고 가정해 보십시오.

• RSWindowsExtendedProtectionLevel이 Require로 설정됨

  그리고

• RSWindowsExtendedProtectionScenario가 Proxy로 설정됨

이 경우 로컬 연결은 성공하고 원격 연결은 실패합니다.

로컬 연결을 설정하는 데 사용된 URL과 보고서 서버에 구성된 URL 예약에 따라 URL 예약에서 만들어진 SPN이 유효한 SPN 목록의 SPN과 일치하지 않아서 발생한 서비스 바인딩 오류로 인해 로컬 연결이 실패하는 경우도 있습니다.

HTTP 연결을 설정하고 클라이언트와 SSL 연결을 설정하도록 구성된 보고서 서버 간에 게이트웨이가 없으면 원격 연결이 항상 실패합니다.

이 시나리오는 Reporting Services 확장 배포와 관련되며 보고서 관리자와 보고서 서버가 동일한 컴퓨터에 있고 둘 모두 호스트 헤더와 Windows 인증을 사용할 경우 발생합니다. 예를 들어 http://<thename>/reports의 보고서 관리자에 액세스하려고 하면 예상했던 보고서와 폴더가 나열되는 대신 "HTTP 401(권한 없음)" 오류 메시지가 나타납니다.

여기서 <thename>은 컴퓨터의 실제 이름이 아니라 "호스트 헤더"로 간주됩니다. 이 이름은 Reporting Services가 설치된 컴퓨터의 대체 이름입니다. 또한 호스트 헤더는 Reporting Services가 확장된 보호에 대한 유효한 SPN 목록을 계산할 때 유효한 SPN의 원본으로 사용됩니다.

401 권한 없음 오류가 나타나지 않도록 하려면 Windows 레지스트리에 저장된 BackConnectionHostNames 목록에 <thename>의 FQDN(정규화된 도메인 이름) 및 NetBIOS를 추가해야 합니다. 레지스트리를 변경한 후 컴퓨터를 다시 부팅합니다.

레지스트리를 변경하는 방법은 Microsoft 기술 자료 문서 896861, 통합 인증을 사용하며 IIS 5.1 이상 버전에 호스트된 웹 사이트를 탐색할 때 오류 401.1이 나타남의 "방법 2: 호스트 이름 지정" 섹션을 참조하십시오.