Artículo
03/30/2012

Solucionar problemas de protección ampliada (Reporting Services)

Use este tema para solucionar los problemas que experimente al usar la protección ampliada con SQL Server 2008 R2 Reporting Services. Este tema también puede ser útil al solucionar problemas generales de autenticación ya que la causa principal de esos problemas puede ser la configuración de la protección ampliada. Para obtener información sobre los desarrollos recientes con la protección ampliada, vea Actualizar información con protección ampliada.

Common issues and support scenarios

Error messages

Error states

Problemas comunes y escenarios compatibles

¿Cómo puedo comprobar la configuración actual de protección ampliada?

Las configuraciones RSWindowsExtendedProtectionLevel y RSWindowsExtendedProtectionScenario se guardan en el archivo rsreportserver.config. Para obtener más información sobre los valores de configuración, vea Protección ampliada para la autenticación con Reporting Services.
Use las API WMI. Para obtener más información, vea Método SetExtendedProtectionSettings (WMI MSReportServer_ConfigurationSetting).
El archivo de registro de seguimiento reportserverservice contendrá las entradas que indican la configuración actual. Las entradas del registro de seguimiento se escriben cuando se inicia el servicio del servidor de informes. Las entradas tendrán una apariencia parecida a la siguiente:

library!DefaultDomain!698!12/29/2009-10:14:49:: i INFO: Inicializando RSWindowsExtendedProtectionLevel en 'Off' como se especifica en el archivo de configuración.

library!DefaultDomain!698!12/29/2009-10:14:49:: i INFO: Inicializando RSWindowsExtendedProtectionScenario en 'Proxy' como se especifica en el archivo de configuración.

¿Cómo sé si la protección ampliada ha provocado el error de autenticación?

El archivo de registro de seguimiento del servicio del servidor de informes contendrá entradas parecidas a la siguiente:

http!rshost!ec0!12/29/2009-11:01:37:: i INFO: Se produjo un error de autenticación con estado del error: 46

Busque el número del estado de error y la información adicional en la lista de error states al final de este tema.

¿Cómo puedo comprobar si las comprobaciones de la protección ampliada se están realizando?

Habilite el registro detallado mediante la actualización del archivo de configuración reportingservicesservice.exe.config. En la sección <RStrace> establezca:

<add name=”Components” value=”all:4” />

Reinicie el servicio.
Con el registro detallado habilitado, la autenticación escribirá líneas parecidas a las siguientes, que indican que se está realizando la comprobación del enlace de servicio, del enlace de canal o de ambos:

http! rshost! ec0! 12/29/2009-11:01:37:: V VERBOSE: Realizando la comprobación de enlace de canal como proxy.

http! rshost! 7b0! 12/29/2009-11:26:23:: V VERBOSE: Realizando la comprobación del enlace de servicio.

Para obtener más información, vea Archivo de configuración ReportingServicesService.

Catálogo del servidor de informes

Microsoft SQL Client no se ha actualizado para admitir la protección ampliada en el momento del lanzamiento de SQL Server 2008 R2. El cliente SQL se usa para conectar los orígenes de datos de SQL Server y la base de datos del catálogo Reporting Services. Esta limitación en el cliente SQL influye en Reporting Services de las siguientes formas:

El servidor SQL Server que ejecute la base de datos del catálogo Reporting Services no puede tener habilitada la protección ampliada o se producirá un error de conexión entre el servidor de informes y la base de datos del catálogo devolviendo errores de autenticación.
Todos los servidores SQL Server que se usen como orígenes de datos de los informes de Reporting Services no pueden tener habilitada la protección ampliada. De lo contrario, los intentos de conexión del servidor de informes con el origen de datos del informe provocarán errores y devolverán errores de autenticación. Una posible solución es cambiar los orígenes de datos de Reporting Services para que usen proveedores nativos y no el cliente SQL. Por ejemplo, configure los orígenes de datos para el controlador ODBC y, a continuación, se usará SQL Native Client ya que admite la protección ampliada.

¿Qué ocurre si habilito la protección ampliada sin configurar SSL?

El comportamiento depende de la configuración de RSWindowsExtendedProtectionScenario en el archivo de configuración rsreportserver.config.

Si RSWindowsExtendedProtectionScenario se establece en Direct y falta SSL

Cuando el valor de RSWindowsExtendedProtectionScenario es Direct y no existe reserva de direcciones URL de SSL para el servidor de informes o el Administrador de informes, la experiencia típica de los usuarios que vean el servidor de informes o el Administrador de informes es que verán una ventana vacía del Administrador de informes.

Esto se debe a que cuando falta SSL y el valor de RSWindowsExtendedProtectionScenario se establece en Direct, el servidor de informes deshabilita los tipos de autenticación <RSWindowsNTLM />, <RSWindowsNegotiate /> y <RSWindowsKerberos />. Por tanto, no existe ningún tipo de autenticación habilitada y el servidor de informes no responderá a las solicitudes. El resultado es que aparecen ventanas vacías.

El archivo de registro de seguimiento contendrá mensajes de error parecidos a los siguientes:

configmanager!DefaultDomain!938!12/29/2009-11:39:39:: e ERROR: SSL se necesita en las conexiones del servidor de informes cuando el valor deExtendedProtectionScenario se establezca en Direct

configmanager!DefaultDomain!938!12/29/2009-11:39:39:: e ERROR: SSL se necesita en las conexiones del Administrador de informes cuando el valor deExtendedProtectionScenario se establezca en Direct

Si RSWindowsExtendedProtectionScenario se establece en Proxy y falta SSL

Cuando RSWindowsExtendedProtectionScenario se establece en Proxy y SSL no forma parte del entorno, la experiencia típica de los usuarios que vean el servidor de informes o el Administrador de informes es que verán una página de petición de credenciales, que siempre será una autenticación incorrecta. Si SSL se configura en el servidor de informes, se resolverá el problema agregando la 's' a la dirección URL usada en el explorador del servidor de informes o del Administrador de informes. Por ejemplo, https://<uri> resolverá el problema del cuadro de diálogo de autenticación que aparece, si se debió a que RSWindowsExtendedProtectionSscenario se estableció en proxy.

El archivo de registro de seguimiento del servidor de informes incluirá mensajes parecidos a los siguiente:

http! rshost! ec0! 12/29/2009-11:01:37:: i INFO: Realizando la comprobación de enlace de canal como proxy

http!rshost!76c!12/29/2009-10:26:12:: i INFO: Se produjo un error de autenticación con estado del error: 45

http! rshost! ec0! 12/29/2009-11:01:37:: i INFO: Realizando la comprobación de enlace de canal como proxy

http!rshost!ec0!12/29/2009-11:01:37:: i INFO: Se produjo un error de autenticación con estado del error: 46

Después de habilitar la protección ampliada, puedo conectarme en Internet Explorer, pero no puedo hacerlo si uso el generador de informes, Management Studio o cualquier cliente .NET

Este escenario solo se aplica a sistemas operativos anteriores a Windows 7 y Windows 2008 R2. Las versiones anteriores de Windows no se lanzaron inicialmente con la funcionalidad de la protección ampliada y, por tanto, un equipo con la versión más antigua del sistema operativo quizá no tenga todas las actualizaciones de la protección ampliada, incluida la actualización de la protección ampliada para .NET framework.

Cuando el valor de RSWindowsExtendedProtectionLevel es Allow o Require, una aplicación cliente que se ejecute en un sistema operativo compatible con la protección ampliada debe proporcionar enlace de canal y, a veces, enlace de servicio. En este ejemplo:

Se actualizó Internet Explorer para la protección ampliada como parte de la actualización de la protección ampliada de Windows.
No obstante, no se aplicaron las revisiones de .NET Framework. .NET framework es necesario para los clientes de .NET como el generador de informes y Management Studio.

Para diagnosticar este problema, deshabilite la protección ampliada y compruebe que se puede conectar la aplicación cliente de .NET. Para deshabilitar la protección ampliada:

Establezca el valor de RSWindowsExtendedProtectionLevel en Off en el archivo RSReportServer.config.
Reinicie el servicio del servidor de informes.

La solución es descargar todas las actualizaciones de .NET Framework.

¿Por qué las conexiones locales pasan la autenticación cuando está habilitada la protección ampliada, pero se produce un error en las conexiones remotas?

Cuando se realiza una autenticación de bucle invertido, el sistema operativo omite el mecanismo de autenticación y no aplica el enlace de canal.

Por consiguiente, cuando se usa una conexión HTTP y la configuración de:

RSWindowsExtendedProtectionLevel se establece en Require

Y
RSWindowsExtendedProtectionScenario se establece en Proxy

La conexión local funcionará correctamente pero la remota no.

En función de la dirección URL usada para realizar la conexión local y de las reservas de direcciones URL configuradas en el servidor de informes, aún es posible que se produzca un error en la conexión local con un enlace de servicio porque el SPN que se creó desde la reserva de las direcciones URL puede que no coincida con ningún SPN de la lista de SPN válidos.

Siempre se producirá un error en la conexión remota si está realizando una conexión HTTP y no es ninguna puerta de enlace que se encuentre entre el cliente y el servidor de informes que se configuran para realizar una conexión SSL.

401 Error no autorizado cuando se usa un encabezado host

Este escenario es específico de una implementación escalada de Reporting Services. Se produce si el Administrador de informes y el servidor de informes están en el mismo equipo, y ambos usan encabezados host, así como la autenticación de Windows. Por ejemplo, si intenta obtener acceso al Administrador de informes en http://<nombre>/informes, no vería la lista de informes y carpetas como cabría esperar, sino que recibiría un mensaje de error "HTTP 401 (No autorizado)".

La referencia <nombre> no es el nombre físico del equipo y se considera un "encabezado host". Se trata de un nombre alternativo para el equipo en el que está instalado Reporting Services. Los encabezados de host también se usan como origen de los SPN válidos cuando Reporting Services calcula la lista válida de SPN de la protección ampliada.

Para evitar el error 401 no autorizado, deberá agregar NetBIOS y el nombre de dominio completo (FQDN) de <nombre> a la lista de BackConnectionHostNames almacenada en el Registro de Windows. Reinicie el equipo después de efectuar el cambio en el Registro.

Para obtener más información sobre cómo efectuar el cambio en el Registro, vea la sección "Método 2: Especificar nombres de host" en el artículo 896861 de Knowledge Base de Microsoft, Aparece el error 401.1 cuando explora un sitio web que usa Autenticación integrada y que está alojado en IIS 5.1 o una versión posterior.

Mensajes de error

La siguiente lista de mensajes se puede ver en el archivo de registro de seguimiento del servidor de informes.

Mensaje de error	Tipo	Causa	Pasos en la solución de problemas
La configuración de ExtendedProtectionScenario falta o no es válida	Error	El valor de RSWindowsExtendedProtectionScenario no está en el archivo rsreportserver.config.	Actualice el archivo de configuración a los valores predeterminados. El valor predeterminado del parámetro RSWindowsExtendedProtectionLevel es Off. El valor predeterminado del parámetro RSWindowsExtendedProtectionScenario es Proxy.
Se necesita SSL en las conexiones del servidor de informes cuando el valor de ExtendedProtectionScenario se establece en Direct	Error	El valor de RSWindowsExtendedProtectionScenario se establece en Direct. La opción Direct requiere una conexión SSL.	Obtenga un certificado SSL y configure una dirección URL de SSL para el servidor de informes y el Administrador de informes. Se necesita lo mismo para Administración central de SharePoint cuando se usa Reporting Services en el modo integrado de SharePoint. Establezca el valor de RSWindowsExtendedProtectionLevel en Off hasta que se obtenga y configure un certificado SSL. Si no se configurará ningún certificado SSL y, aún así, se desea algún grado de protección, establezca el valor de RSWindowsExtendedProtectionScenario en Any.
Se producirá un error en la autenticación NTLM, Kerberos, Negotiate en el tráfico HTTP al servidor de informes	Advertencia	El valor de RSWindowsExtendedProtectionScenario se establece en Direct. Direct requiere SSL. Se configura una reserva de direcciones URL HTTP. Se producirá un error de autenticación en esta reserva de direcciones URL.	Use HTTPS para comunicarse con el servidor de informes. Quite la reserva de direcciones URL HTTP mediante el administración de configuración de Reporting Services.
Se necesita SSL en las conexiones del Administrador de informes cuando el valor de ExtendedProtectionScenario se establece en Direct	Error	El valor de RSWindowsExtendedProtectionScenario se establece en Direct. Direct requiere SSL. El Administrador de informes no tiene ninguna dirección URL de SSL configurada.	Obtenga un certificado SSL y configure una dirección URL de SSL para el servidor de informes y el Administrador de informes. Se necesita lo mismo para Administración central de SharePoint cuando se usa Reporting Services en el modo integrado de SharePoint. Establezca el valor de RSWindowsExtendedProtectionLevel en Off hasta que se obtenga y configure un certificado SSL. Si no se configurará ningún certificado SSL y, aún así, se desea algún grado de protección, establezca el valor de RSWindowsExtendedProtectionScenario en Any.
En las conexiones directas con el servidor de informes se producirá un error en la autenticación NTLM, Kerberos, Negotiate	Advertencia	El valor de RSWindowsExtendedProtectionScenario es Proxy. No se configura ninguna dirección URL de SSL para el Administrador de informes. Cuando se configura así, el usuario DEBE realizar una conexión a través de un canal SSL con el PROXY. Un proxy puede finalizar la conexión. Si se realiza una conexión directa al servidor de SSRS sin ningún canal SSL, se producirá un error de autenticación.	Compruebe que los clientes solo usan HTTPS. Compruebe que se configura un proxy con la terminación SSL configurada. Compruebe que todos los equipos, locales y remotos, se configuran con el fin de usar el proxy para las conexiones con el servidor de informes y el Administrador de informes. Puede que se necesiten actualizaciones del DNS, actualizaciones del proxy del explorador o entradas del archivo HOSTS personalizadas para el equipo local. Configure una dirección URL de SSL en el servidor de Reporting Services para el servidor de informes y el Administrador de informes o Administración central de SharePoint cuando se use Reporting Services en el modo integrado de SharePoint. Todas las conexiones locales deben usar la dirección URL de SSL. Se supone que no se ha configurado ningún proxy con terminación. Establezca la dirección URL del Administrador de informes explícitamente para usar la dirección URL del proxy con SSL.
Se puede producir un error en la autenticación NTLM, Kerberos, Negotiate en el tráfico HTTP al Administrador de informes	Advertencia	El valor de ExtendedProtectionScenario se establece en Proxy y se configura una dirección URL de SSL para el Administrador de informes. Si se configura de esta forma, los usuarios que obtengan acceso a través de un proxy esperan que la autenticación sea correcta, aunque la conexión desde el proxy al Administrador de informes no sea a través de un canal SSL. Las conexiones locales al Administrador de informes deben usar SSL.	Compruebe que los clientes usan solo HTTPS (canal SSL). Compruebe que se configura un proxy con la terminación SSL configurada. Compruebe que todos los equipos, locales y remotos, se configuran con el fin de usar el proxy para las conexiones con el servidor de informes y el Administrador de informes. Puede que se necesiten actualizaciones del DNS, actualizaciones del proxy del explorador o entradas del archivo HOSTS personalizadas para el equipo local. Configure una dirección URL de SSL en el servidor de Reporting Services para el servidor de informes y el Administrador de informes. Todas las conexiones locales deben usar la dirección URL de SSL. Se supone que no se ha configurado ningún proxy con terminación. Establezca la dirección URL del Administrador de informes explícitamente para usar la dirección URL del proxy con SSL.

Estados de error

Esta sección contiene los nombres y las descripciones de los códigos de error que puede ver en el registro de seguimiento del servicio del servidor de informes con relación a la protección ampliada. Para obtener más información, vea Registro de seguimiento del servicio del servidor de informes.

Código	Nombre del estado de error	Descripción
44	SNIAUTH_ERRST_SSPIHANDSHAKE_CHANNELBINDINGS_NOTSUPPORTED	El sistema operativo no admite enlaces de canal, pero el servidor de informes está configurado para requerir la protección ampliada. Actualice el sistema operativo o deshabilite la protección ampliada.
45	SNIAUTH_ERRST_SSPIHANDSHAKE_CHANNELBINDINGS_EMPTYORWRONG	Los enlaces de canal de este cliente no coinciden con el canal de Seguridad de la capa de transporte. Es posible que el servicio esté siendo atacado o que sea necesaria una actualización del proveedor de datos para admitir la protección ampliada. La conexión se cerró.
46	SNIAUTH_ERRST_SSPIHANDSHAKE_CHANNELBINDINGS_NULLOREMPTYORWRONG	Los enlaces de canal de este cliente no se encuentran o no coinciden con el canal de Seguridad de la capa de transporte. Es posible que el servicio esté siendo atacado o que sea necesaria una actualización del proveedor de datos o el sistema operativo del cliente se deba actualizar para admitir la protección ampliada. La conexión se cerró.
48	SNIAUTH_ERRST_SSPIHANDSHAKE_SERVICEBINDINGS_UNSUPPORTED	El sistema operativo no admite los enlaces de servicio, pero el servidor está configurado para requerir protección ampliada. Actualice el sistema operativo o deshabilite la protección ampliada.
49	SNIAUTH_ERRST_SSPIHANDSHAKE_SERVICEBINDINGS_QUERYCONTEXTATTRIBUTES	Los QueryContextAttributes no pudieron recuperar los enlaces de servicio. El código de error de Windows indica la causa del error.
51	SNIAUTH_ERRST_SSPIHANDSHAKE_SERVICEBINDINGS_NULL	El nivel de protección ampliada del servidor está establecido en Allowed o Required y el cliente no proporcionó ningún nombre principal de servicio (SPN). Para conectarse, este cliente debe admitir la protección ampliada. Es posible que tenga que instalar un Service Pack del sistema operativo que permita el enlace de servicio y el enlace de canal.
52	SNIAUTH_ERRST_SSPIHANDSHAKE_SERVICEBINDINGS_EMPTY	El nivel de protección ampliada del servidor está establecido en Permitido o Requerido y el cliente no proporcionó un SPN. Para conectarse, este cliente debe admitir la protección ampliada.
53	SNIAUTH_ERRST_SSPIHANDSHAKE_SERVICEBINDINGS_SERVICECLASSMISMATCH	El elemento Service Class del SPN recibido no es válido.
54	SNIAUTH_ERRST_SSPIHANDSHAKE_SERVICEBINDINGS_IPADDRESSMISMATCH	El elemento IP Address del SPN recibido no es válido.
55	SNIAUTH_ERRST_SSPIHANDSHAKE_SERVICEBINDINGS_HOSTNAMEMISMATCH	El elemento Host del SPN recibido no es válido.
56	SNIAUTH_ERRST_SSPIHANDSHAKE_OOM	Error de asignación de memoria al validar el SPN recibido.
57	SNIAUTH_ERRST_SSPIHANDSHAKE_SERVICEBINDINGS_WSASTRINGTOADDRESSFAILEDFORIPV6	WSAStringToAddress no pudo convertir el elemento IP Address del SPN recibido en una estructura de direcciones. El código de error de Windows indica la causa del error.

Vea también

Referencia

Método SetExtendedProtectionSettings (WMI MSReportServer_ConfigurationSetting)

Conceptos

Referencia de errores y eventos (Reporting Services)

Protección ampliada para la autenticación con Reporting Services