Registrar um SPN (Nome da Entidade de Serviço) para um servidor de relatório

Artigo
09/11/2014

Se estiver implantando o Reporting Services em uma rede que use o protocolo Kerberos para autenticação mútua, você deverá criar um SPN (Nome da Entidade de Serviço) para o serviço Servidor de Relatório se configurá-lo para execução como uma conta de usuário do domínio.

Sobre SPNs

Um SPN é um identificador exclusivo para um serviço em uma rede que usa autenticação Kerberos. Consiste em uma classe de serviço, um nome de host e uma porta. Em uma rede que usa autenticação Kerberos, deve ser registrado um SPN para o servidor em uma conta interna do computador (como NetworkService ou LocalSystem) ou uma conta de usuário. Os SPNs são automaticamente registrados para contas internas. Entretanto, quando executar um serviço em uma conta de usuário do domínio, você deverá registrar manualmente o SPN para a conta que deseja usar.

Para criar um SPN, você pode usar o utilitário de linha de comando SetSPN. Para obter mais informações, consulte o seguinte:

Você deve ser um administrador de domínio para executar o utilitário no controlador de domínio.

Sintaxe

A sintaxe de comando para usar o utilitário SetSPN e criar um SPN para o servidor de relatório se assemelha ao seguinte:

Setspn -s http/<computername>.<domainname>:<port> <domain-user-account>

SetSPN está disponível com o Windows Server. O argumento de -s adiciona um SPN depois de não validar nenhuma duplicata. OBSERVAÇÃO: -s está disponível no Windows Server a partir do Windows Server 2008.

HTTP é a classe de serviço. O serviço Web Servidor de Relatórios é executado em HTTP.SYS. Uma criação por produto de um SPN para HTTP significa que todos os aplicativos Web no mesmo computador que são executados em HTTP.SYS (incluindo aplicativos hospedados no IIS) receberão tíquetes com base na conta de usuário do domínio. Se esses serviços forem executados em uma conta diferente, ocorrerá falha nas solicitações de autenticação. Para evitar esse problema, configure todos os aplicativos HTTP para que sejam executados na mesma conta ou considere a criação de cabeçalhos de host para cada aplicativo e, depois, a criação de SPNs separados para cada cabeçalho de host. Quando você configura cabeçalhos de host, é necessário fazer alterações de DNS, independentemente da configuração do Reporting Services.

Os valores especificados para <nome_do_computador>, <nome_do_domínio> e <porta> identificam o endereço de rede exclusivo do computador que hospeda o servidor de relatório. Pode ser um nome de host local ou um nome de domínio totalmente qualificado (FQDN). Se você tiver somente um domínio e estiver usando a porta 80, poderá omitir <domainname> e <port> da linha de comando. <domain-user-account> é a conta de usuário sob a qual o serviço Servidor de Relatório é executado e na qual o SPN deve ser registrado.

Registrar um SPN para a conta de usuário do domínio

Para registrar um SPN para um serviço Servidor de Relatório que esteja em execução como um usuário do domínio

Instale o Reporting Services e configure o serviço Servidor de Relatório para ser executado como uma conta de usuário do domínio. Observe que os usuários não poderão se conectar ao servidor de relatório até que você conclua as etapas a seguir.
Faça logon no controlador de domínio como administrador de domínio.
Abra uma janela do prompt de comando.
Copie o seguinte comando, substituindo os valores de espaço reservado por valores reais que sejam válidos para sua rede:
```
Setspn -s http/<computer-name>.<domain-name>:<port> <domain-user-account>
```
Por exemplo: Setspn -s http/MyReportServer.MyDomain.com:80 MyDomainUser
Execute o comando.
Abra o arquivo RsReportServer.config e localize a seção <AuthenticationTypes>.
Adicione <RSWindowsNegotiate/> como a primeira entrada desta seção para habilitar NTLM.

Consulte também

Tarefas

Configurar uma conta de serviço para o Reporting Services

Conceitos

Configurar a conta de serviço do Servidor de Relatório

Gerenciar um servidor de relatórios de modo nativo do Reporting Services