疑難排解擴充保護 (Reporting Services)

• RSWindowsExtendedProtectionLevel 和 RSWindowsExtendedProtectionScenario 設定會儲存在 rsreportserver.config 檔案中。如需有關組態設定的詳細資訊，請參閱＜含有 Reporting Services 之驗證的擴充保護＞。

• 使用 WMI API。如需詳細資訊，請參閱＜SetExtendedProtectionSettings 方法 (WMI MSReportServer_ConfigurationSetting)＞。

• reportserverservice 追蹤記錄檔將會包含指出目前設定的項目。當啟動報表伺服器服務時，將會寫入追蹤記錄項目。這些項目看起來與下列文字類似：

library!DefaultDomain!698!12/29/2009-10:14:49:: i INFO: 將 RSWindowsExtendedProtectionLevel 初始化成 'Off'，如同組態檔中所指定。

library!DefaultDomain!698!12/29/2009-10:14:49:: i INFO: 將 RSWindowsExtendedProtectionScenario 初始化成 'Proxy'，如同組態檔中所指定。

報表伺服器的服務追蹤記錄檔將會包含類似以下的項目：

http!rshost!ec0!12/29/2009-11:01:37:: i INFO: 驗證失敗，錯誤狀態: 46

在本主題結尾的error states清單中尋找錯誤狀態號碼和其他資訊。

更新 reportingservicesservice.exe.config 組態檔來啟用詳細資訊記錄。在 <RStrace> 區段組中：

<add name=”Components” value=”all:4” /> 

• 重新啟動服務。

• 當啟用詳細資訊記錄時，驗證將會寫入類似下面的字行，指出正在執行通道繫結、服務繫結或這兩者的驗證：

http!rshost!ec0!12/29/2009-11:01:37:: v VERBOSE: 正在執行通道繫結檢查當做 Proxy。

http!rshost!7b0!12/29/2009-11:26:23:: v VERBOSE: 正在執行服務繫結檢查。

如需詳細資訊，請參閱＜ReportingServicesService 組態檔＞。

Microsoft SQL 用戶端尚未更新，無法在 SQL Server 2008 R2 發行時支援擴充保護。SQL 用戶端用來連接 SQL Server 資料來源與 Reporting Services 目錄資料庫。SQL 用戶端中的這項限制會以下列方式影響 Reporting Services：

• 執行 Reporting Services 目錄資料庫的 SQL Server 不能啟用擴充功能，否則報表伺服器將無法連接至目錄資料庫，並傳回驗證錯誤。

• 當做 Reporting Services 報表資料來源使用的所有 SQL Server 無法啟用擴充保護，否則報表伺服器為連接報表資料來源所做的嘗試將會失敗，並傳回驗證錯誤。可能的因應方式是變更 Reporting Services 資料來源以使用原生提供者，而非 SQL 用戶端。例如，設定 ODBC 驅動程式的資料來源，然後使用 SQL Native Client，因為它會支援擴充保護。

此行為取決於 rsreportserver.config 組態檔中的 RSWindowsExtendedProtectionScenario 設定。

如果 RSWindowsExtendedProtectionScenario 設定為 Direct 而且遺漏 SSL

如果 RSWindowsExtendedProtectionScenario 設定為 Proxy 而且遺漏 SSL

這個情況只適用於 Windows 7 和 Windows 2008 R2 之前的作業系統。舊版的 Windows 一開始發行時並未包含擴充保護功能，因此擁有舊版作業系統的電腦可能不會擁有所有擴充保護更新，包括 .NET framework 的擴充保護更新。

當 RSWindowsExtendedProtectionLevel 為 Allow 或 Require 時，在支援擴充保護之作業系統上執行的用戶端應用程式必須提供通道繫結，有時也必須提供服務繫結。在此範例中：

• Internet Explorer 在 Windows 擴充保護更新中針對擴充保護進行更新。

• 但是，尚未修補 .NET Framework。類似報表產生器和 Management Studio 的 .NET 用戶端需要 .NET framework。

若要診斷這個問題，請停用擴充保護，並確認 .NET 用戶端應用程式可以連接。若要停用擴充保護：

1. 在 RSReportServer.config 檔案中將 RSWindowsExtendedProtectionLevel 設定為 Off。

2. 重新啟動報表伺服器服務。

解決方案是下載所有 .NET Framework 更新。

當執行回送驗證時，作業系統會略過驗證機制，而且不會強制使用通道繫結。

因此，當使用 HTTP 連接及以下的組態設定時：

• RSWindowsExtendedProtectionLevel 設定為 Require

  而且

• RSWindowsExtendedProtectionScenario 設定為 Proxy

本機連接會成功，但是遠端連接會失敗。

根據用來進行本機連接的 URL 以及報表伺服器上設定的 URL 保留項目而定，本機連接仍然有可能因為服務繫結失敗而失敗，因為從 URL 保留項目建立的 SPN 可能不會符合有效 SPN 清單中的 SPN。

如果您進行 HTTP 連接，而且在設定為建立 SSL 連接的用戶端與報表伺服器之間沒有閘道，遠端連接一定會失敗。

這個情況專屬於 Reporting Services 的向外延展部署，當報表管理員和報表伺服器在同一部電腦上而且兩者都使用主機標頭和 Windows 驗證時，將會發生這個情況。例如，如果您嘗試在 http://<thename>/reports 上存取報表管理員，您不會如預期般看到報表和資料夾的清單，但是會收到「HTTP 401 (未經授權)」錯誤訊息。

參考 <thename> 不是電腦的實體名稱，而且被視為「主機標頭」。它是安裝 Reporting Services 之電腦的替代名稱。當 Reporting Services 針對擴充保護計算有效的 SPN 清單時，主機標頭也會當做有效 SPN 的一個來源使用。

若要避免 401 未經授權錯誤，您需要將 <thename> 的 NetBIOS 和完整網域名稱 (FQDN) 加入至 Windows 登錄內儲存的 BackConnectionHostNames 清單。進行登錄變更之後，重新開機。

如需有關如何進行登錄變更的詳細資訊，請參閱 Microsoft 知識庫文件 896861 當您瀏覽的網站使用整合式驗證而且在 IIS 5.1 或更新版本上主控時，您會收到錯誤 401.1 中的＜方法 2：指定主機名稱＞一節 (機器翻譯)。