Настройка учетной записи службы сервера отчетов (диспетчер конфигурации сервера отчетов)
Область применения:
SQL Server 2016 (13.x) Reporting Services и более поздних версий Сервер отчетов Power BI
Reporting Services реализованы в виде единой службы, состоящей из веб-службы сервера отчетов, веб-портала и приложения фоновой обработки, которое предназначено для запланированной обработки отчетов и доставки подписок. В этой статье объясняется, как изначально настроена учетная запись службы и как изменить учетную запись или пароль с помощью средства настройки служб Reporting Services.
Начальная конфигурация
Задание учетной записи службы сервера отчетов производится во время установки. Служба может быть запущена как от учетной записи пользователя домена, так и от встроенной учетной записи вроде учетной записи виртуальной службы. Учетной записи по умолчанию не существует. Начальной учетной записью сервера отчетов будет та, которая была указана на странице Учетные записи службы мастера установки.
Внимание
Хотя веб-служба сервера отчетов и веб-портал являются отдельными приложениями ASP.NET, они выполняются под одной архитектурой службы в пределах одного удостоверения процесса сервера отчетов.
Примечание.
Встроенные учетные записи служб Windows (локальная служба или сетевая служба) не поддерживаются в качестве учетных записей службы сервера отчетов на компьютере, являющемся контроллером домена.
Смена учетной записи службы
Для просмотра и перенастройки сведений об учетной записи службы всегда используйте Диспетчер конфигурации служб Reporting Services. Сведения об удостоверении службы внутренне сохраняется в нескольких разных местах. Использование этого средства гарантирует, что при смене учетной записи или пароля все необходимые ссылки будут соответствующим образом обновлены. Диспетчер конфигурации служб Reporting Services выполняет следующие дополнительные действия, чтобы убедиться, что сервер отчетов остается доступным:
Автоматически добавляет новую учетную запись к группе сервера отчетов, созданной на локальном компьютере. Эта группа указана в списках управления доступом (ACL), защищенных файлами служб Reporting Services.
Автоматически обновляет разрешения на вход в экземпляр SQL Server ядро СУБД, используемый для размещения базы данных сервера отчетов. Новая учетная запись будет добавлена к роли RSExecRole.
Вход в базу данных для старой учетной записи не удаляется автоматически. Не забывайте удалять учетные записи, которые больше не используются. Дополнительные сведения см. в разделе Администратор ister a report server database (собственный режим SSRS).
Предоставление новой учетной записи службы разрешений производится только в момент первой настройки подключения к базе данных сервера отчетов. Если вы настроили подключение к базе данных сервера отчетов для использования учетной записи пользователя домена или входа в базу данных SQL Server, обновление учетной записи службы не влияет на сведения о подключении.
Автоматически обновляет ключ шифрования, добавляя в него сведения о профиле новой учетной записи.
Примечание.
Если сервер отчетов является частью масштабного развертывания, то изменяется только обновляемый сервер отчетов. При изменении учетной записи сервера ключи шифрования для других серверов отчетов в развертывании не изменяются.
Настройка учетной записи службы сервера отчетов
Запустите диспетчер конфигурации служб Reporting Services и подключитесь к серверу отчетов.
На странице «Учетная запись службы» выберите параметр, указывающий тип используемой учетной записи.
Если выбрана учетная запись пользователя Windows, укажите новую учетную запись и пароль. Учетная запись не может содержать более 20 символов и не может содержать специальные символы для правил именования учетных
" / \ [ ] : ; | = , + * ? < > 'записей windows.При развертывании сервера отчетов в сети, поддерживающей проверку подлинности Kerberos, необходимо зарегистрировать имя субъекта-службы сервера отчетов (SPN) с указанной учетной записью пользователя домена. Дополнительные сведения см. в разделе "Регистрация имени субъекта-службы" для сервера отчетов.
Выберите Применить.
При появлении запроса на резервное копирование симметричного ключа введите имя файла и расположение для резервного копирования симметричного ключа. Введите пароль для блокировки и разблокировки файла, а затем нажмите кнопку "ОК".
Если сервер отчетов пользуется для подключения к базе данных сервера отчетов учетной записью службы, то ее имя и пароль будут обновлены в сведениях о соединении. Для этого потребуется соединение с базой данных. Если появится диалоговое окно Подключение базы данных SQL Server, введите учетные данные, имеющие разрешение на подключение к базе данных, и нажмите кнопку "ОК".
При появлении запроса на восстановление симметричного ключа введите пароль, указанный на шаге 5, и нажмите кнопку "ОК".
Ознакомьтесь с сообщениями о состоянии на панели «Результаты», чтобы убедиться в успешном выполнении всех задач.
Выбор учетной записи
Чтобы получить наилучший результат, укажите учетную запись, обладающую разрешениями сетевого подключения и имеющую доступ к контроллерам домена, шлюзам и SMTP-серверам предприятия. В следующей сводной таблице перечислены учетные записи и рекомендации по их использованию.
Примечание.
Общие сведения об управляемых учетных записях служб группы не поддерживаются в качестве учетной записи службы сервера отчетов.
| Учетная запись | Описание |
|---|---|
| Учетная запись пользователя домена | При наличии учетной записи пользователя домена Windows, обладающей минимумом разрешений, необходимым для работы сервера отчетов, лучше пользоваться ей. Рекомендуется пользоваться учетной записью пользователя домена, поскольку она изолирует службу сервера отчетов от других приложений. Если вы запускаете несколько приложений под общей учетной записью, например сетевая служба, вы повышаете риск того, что злоумышленник управляет сервером отчетов, так как нарушение безопасности для любого приложения может легко распространяться на все приложения, которые выполняются под одной учетной записью. При использовании учетной записи пользователя домена придется периодически менять пароль, если в организации действует политика истечения срока действия паролей. Может также потребоваться регистрация службы под учетной записью пользователя. Дополнительные сведения см. в разделе "Регистрация имени субъекта-службы" для сервера отчетов. Избегайте применения учетных записей локальных пользователей Windows. Как правило, они не предоставляют разрешений, необходимых для доступа к ресурсам на других компьютерах. Дополнительные сведения о том, как использование локальной учетной записи ограничивает функциональные возможности сервера отчетов, см . в рекомендациях по использованию локальных учетных записей в этой статье. |
| Учетная запись виртуальной службы | Учетная запись виртуальной службы представляет службу Windows. Это встроенная учетная запись с минимальными привилегиями, которая имеет разрешения для входа в сеть. Использование этой учетной записи рекомендуется в случае отсутствия учетной записи пользователя домена, если желательно избежать перерывов в обслуживании, вызванных применением политики истечения срока действия паролей. |
| Сетевая служба. | Сетевая служба — это встроенная учетная запись с минимальными привилегиями, которая имеет разрешения на вход в сеть. Выбрав учетную запись Сетевая служба, постарайтесь уменьшить число других запускаемых от нее служб. Нарушение защиты одного из приложений приведет к компрометации всех остальных приложений, запускаемых от имени той же учетной записи. |
| Локальная служба. | Локальная служба — это встроенная учетная запись, похожая на учетную запись локального пользователя Windows, прошедшего проверку подлинности. Службы, запущенные с учетной записью Локальная служба , получают доступ к сетевым ресурсам в форме неопределенного сеанса без учетных данных. Эта учетная запись не подходит для сценариев развертывания интрасети, когда сервер отчетов должен подключиться к удаленной базе данных сервера отчетов или сетевому контроллеру домена для проверки подлинности пользователя перед открытием отчета или обработкой подписки. |
| Локальная система | Локальная система — это учетная запись с высоким уровнем привилегий, которая не требуется для запуска сервера отчетов. Избегайте использования данной учетной записи при установках сервера отчетов. Лучше вместо нее использовать учетную запись Сетевая служба . |
Рекомендации по использованию локальных учетных записей
Использование локальных учетных записей главным образом обосновано в тех случаях, когда серверу отчетов требуется доступ к удаленным серверам баз данных, почтовым серверам и контроллеру домена. Если сервер отчетов настроен для запуска от имени учетной записи локального пользователя Windows, «Локальная служба» или «Локальная система», следует исходить в первую очередь из установки других параметров настройки, а также методов создания и доставки подписки.
Запуск службы от имени локальной учетной записи может привести к ограничению параметров настройки позже, во время установления соединения с удаленной базой данных сервера отчетов. В частности, если вы используете удаленную базу данных сервера отчетов, необходимо настроить подключение для использования учетной записи пользователя домена или пользователя базы данных SQL Server, имеющего разрешение на вход в удаленный экземпляр SQL Server.
Работа службы под локальной учетной записью накладывает новые требования на создание подписок. Сервер отчетов хранит сведения о пользователе, который создал подписку. Если пользователь создает подписку во время того, как он подключен под учетной записью домена, то служба сервера отчетов будет пытаться подключиться к контроллеру домена для проверки подлинности пользователя при обработке подписки. Если служба запущена от имени локальной учетной записи, то запрос проверки подлинности окажется неуспешным при попытке сервера отчета отправить запрос на удаленный контроллер домена. Чтобы обойти это ограничение, можно использовать модуль проверки подлинности на основе пользовательских форм или подключить всех пользователей к серверу отчета под локальной учетной записью пользователя.
Работа службы под локальной учетной записью накладывает новые требования на доставку подписок. Некоторые модули доставки имеют сведения об учетных записях пользователя в определении подписок. Если вы отправляете отчеты по адресам электронной почты, основанным на учетных записях пользователей домена, и вы запускаете службу сервера отчетов под локальной учетной записью, она не может получить доступ к удаленному контроллеру домена для разрешения целевой учетной записи электронной почты.
Встроенные учетные записи служб Windows (локальная служба или сетевая служба) не поддерживаются в качестве учетных записей службы сервера отчетов на компьютере, являющемся контроллером домена.
Следующие правила и ссылки в этом разделе помогут выбрать наилучший подход при развертывании.
Настройте учетные записи и разрешения службы Windows.
Руководство по планированию безопасности служб и учетных записей служб.
Обновление пароля с истекшим сроком действия
Если служба сервера отчетов запущена от имени учетной записи домена и срок действия пароля истек до его обновления в диспетчере конфигураций сервера отчетов, служба не будет запускаться до тех пор, пока не будет задан новый пароль.
Если срок действия пароля учетной записи службы для ядро СУБД истекает, при попытке подключиться к серверу отчетов возникает ошибка rsReportServerDatabaseUnavailable. Эта ошибка устраняется с помощью сброса пароля.
Устранение ошибок обновления удостоверений службы
Внесение изменений в удостоверение службы приводит к возникновению ряда событий, которые включают перезапуск службы, обновление защищенного паролем ключа шифрования, резервирования URL-адресов и сведений о соединении, если учетная запись службы предназначена для подключения к базе данных сервера отчетов. Состояние этих событий отражается в виде уведомлений на панели «Результаты» в нижней части страницы. Если в процессе работы возникли ошибки, то можно попробовать устранить их следующими методами.
Если не удалось восстановить симметричный ключ, можно предпринять попытку восстановить его вручную при помощи кнопки Восстановить на странице "Ключи шифрования". Если сделать это не удается, рассмотрите возможность удаления зашифрованного содержимого. При этом придется повторно создать подписки и сведения о соединении с источником данных, но остальная часть содержимого останется доступной. Дополнительные сведения см. в статье "Резервное копирование и восстановление ключей шифрования служб Reporting Services".
Если служба не запустилась, запустите ее вручную при помощи оснастки "Службы" в разделе "Администрирование".
При обновлении учетной записи службы могут возникнуть ошибки резервирования URL-адресов. Каждое резервирование URL-адресов предусматривает создание дескриптора безопасности, который включает список разграничительного управления доступа DACL, который предоставляет учетной записи службы разрешение на прием запросов по данному URL-адресу. После обновления учетной записи URL-адрес должен быть создан повторно, чтобы обновить список DACL на основе новых сведений об учетной записи. Если резервирование URL-адресов не может быть выполнено повторно, но известно, что учетная запись является действительной, то можно попробовать перезапустить компьютер. Если после этого ошибка не исчезла, попробуйте воспользоваться другой учетной записью.
Связанный контент
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по