• Artykuł

Rozwiązywanie problemów z ochrony rozszerzonej (Reporting Services)

Use this topic to troubleshoot problems you experience when using extended protection with SQL Server 2008 R2 Reporting Services.W tym temacie może być także użyteczne podczas rozwiązywania problemów ogólnych uwierzytelnianie głównej przyczyny tych problemów mogą być konfiguracja ochrony rozszerzonej. Aby uzyskać informacje o najnowszych osiągnięć z ochrony rozszerzonej, zobacz zaktualizowane informacje z ochrony rozszerzonej.

Common issues and support scenarios

Error messages

Error states

Typowe problemy i scenariusze obsługi

Jak sprawdzić bieżące ustawienia ochrony rozszerzonej?

library!DefaultDomain!698!12/29/2009-10:14:49:: i INFO: Initializing RSWindowsExtendedProtectionLevel to 'Off' as specified in Configuration file.

library!DefaultDomain!698!12/29/2009-10:14:49:: i INFO: Initializing RSWindowsExtendedProtectionScenario to 'Proxy' as specified in Configuration file.

Jak się dowiedzieć, że ochrona rozszerzona spowodował niepowodzenie uwierzytelnienia?

serwer raportóww pliku dziennika śledzenia usługa będzie zawierać wpisy podobne do następującego:

http!rshost!ec0!12/29/2009-11:01:37:: i INFO: Authentication failed with error state: 46

Znajdź numer stanu błędu i dodatkowe informacje na liście error states na końcu tego tematu.

Jak sprawdzić, jeśli ochrony rozszerzonej kontroli wykonywanej?

Włączyć pełne rejestrowanie, aktualizując plik konfiguracji reportingservicesservice.exe.config.W <RStrace> sekcji zestaw:

<add name=”Components” value=”all:4” />

  • Uruchom ponownie usługa.

  • Włączone pełne rejestrowanie, uwierzytelnianie będzie zapis wiersze podobne do następujących, wskazujące weryfikacji powiązania kanału, wykonywanej powiązania usługi lub obie:

http!rshost!ec0!12/29/2009-11:01:37:: v VERBOSE: Performing Channel Binding Check as Proxy.

http!rshost!7b0!12/29/2009-11:26:23:: v VERBOSE: Performing Service Binding Check.

Aby uzyskać więcej informacji, zobacz Plik konfiguracyjny ReportingServicesService.

Wykaz Server raportu

MicrosoftKlient SQL nie został zaktualizowany do wspierania ochrony rozszerzonej na czas z SQL Server 2008 R2 wersji.Klient SQL jest używany do łączenia źródeł danych programu SQL Server i Reporting Services bazy danych katalogu.To ograniczenie wpływów SQL Client Reporting Services w następujący sposób:

  • SQL Server działającą Reporting Services Baza danych katalogu nie może być włączona ochrona rozszerzona lub serwer raportów nie powiedzie się połączenie z bazą danych wykazu i zwracają błędy uwierzytelnianie.

  • Wszystkie serwery SQL, które są używane jako Reporting Services raportu źródło danych nie może być włączona ochrona rozszerzona lub prób przez serwer raportów do połączenia ze źródłem danych raportu nie będzie i zwracają błędy uwierzytelnianie.Około pracy możliwa jest zmiana Reporting Services źródeł danych za pomocą macierzystego dostawcy, a nie SQL klienta.Na przykład skonfigurować źródła danych dla sterownika ODBC, a następnie zostanie użyte SQL Native Client, ponieważ obsługuje on ochrony rozszerzonej.

Co się dzieje, gdy I włączyć ochronę rozszerzoną, ale nie należy konfigurować SSL?

Zachowanie zależy od ustawienia RSWindowsExtendedProtectionScenario w rsreportserver.config plik konfiguracji.

Jeśli jest RSWindowsExtendedProtectionScenario zestaw do bezpośredniego i brakuje SSL

Gdy RSWindowsExtendedProtectionScenario jest Direct i nie ma żadnych rezerwację adresu URL protokołu SSL dla serwera raportowania lub Menedżer raportów, będzie doświadczenie typowy użytkownikom przeglądanie serwera raportów lub Menedżer raportów, aby wyświetlić puste okno Menedżer raportów.

To dlatego, gdy brakuje SSL i RSWindowsExtendedProtectionScenario jest zestaw do bezpośredniego, serwer raportów wyłącza typy uwierzytelnianie <RSWindowsNTLM />, <RSWindowsNegotiate />, i <RSWindowsKerberos />.Dlatego nie ma żadnych typów uwierzytelnianie włączona, a serwer raportów nie będzie odpowiadać na żądania.To wyniki w systemie windows puste.

Plik dziennika śledzenia będzie zawierać komunikaty o błędach podobne do następujących:

configmanager!DefaultDomain!938!12/29/2009-11:39:39:: e ERROR: SSL is required on Report Server connections when ExtendedProtectionScenario is set to Direct

configmanager!DefaultDomain!938!12/29/2009-11:39:39:: e ERROR: SSL is required on Report Manager connections when ExtendedProtectionScenario is set to Direct

Jeśli jest RSWindowsExtendedProtectionScenario zestaw serwera Proxy i SSL brakuje

Gdy RSWindowsExtendedProtectionScenario jest zestaw serwera Proxy i SSL nie jest częścią środowiska, typowy doświadczenie użytkownikom przeglądanie serwer raportów lub Menedżer raportów będzie wyświetlić poświadczenia prompt strona, która nigdy nie zostałoby uwierzytelnione.Jeśli protokół SSL jest skonfigurowana na serwerze raportów, dodawanie 's' adres URL używany w przeglądarce do serwer raportów lub Menedżer raportów rozwiąże problem.Na przykład https://<uri> rozwiąże problemu uwierzytelnianie się okno dialogowe, jeśli z powodu RSWindowsExtendedProtectionSscenario zestaw do proxy.

serwer raportóww pliku dziennika śledzenia będzie zawierać komunikaty podobne do:

http!rshost!ec0!12/29/2009-11:01:37:: i INFO: Performing Channel Binding Check as Proxy

http!rshost!76c!12/29/2009-10:26:12:: i INFO: Authentication failed with error state: 45

http!rshost!ec0!12/29/2009-11:01:37:: i INFO: Performing Channel Binding Check as Proxy

http!rshost!ec0!12/29/2009-11:01:37:: i INFO: Authentication failed with error state: 46

Po włączeniu ochrony rozszerzonej, mogą łączyć się w programie Internet Explorer, ale nie można połączyć za pomocą Konstruktora raportów, Management Studio lub dowolne.Klient netto

Ten scenariusz dotyczy tylko systemach operacyjnych starszych niż system Windows 7 i Windows 2008 R2.Wcześniejsze wersje systemu Windows nie początkowo zwolnić z ochrony rozszerzonej funkcjonalności, a komputer ze starszą wersja systemu operacyjnego może nie jest więc wszystkie aktualizacje ochrony rozszerzonej, w tym ochrony rozszerzonej aktualizacji.NET framework.

Gdy RSWindowsExtendedProtectionLevel jest Allow lub Require, aplikacja klient uruchomiona w systemie operacyjnym obsługującym ochrony rozszerzonej musi dostarcza powiązanie kanału i czasami usługa wiązania.W tym przykładzie:

  • Program Internet Explorer został zaktualizowany dla ochrony rozszerzonej jako część systemu Windows, rozszerzone aktualizacji ochrony.

  • Jednakże.NET Framework nie została zastosowana poprawka..NET framework jest wymagany.NET klientów, takich jak Konstruktora raportów i Management Studio.

Aby zdiagnozować problem, Wyłącz ochronę rozszerzoną i sprawdź.NET klient aplikacji mogą się łączyć.Wyłączenie ochrony rozszerzonej:

  1. Set RSWindowsExtendedProtectionLevel to Off in the RSReportServer.config file.

  2. Uruchom ponownie usługę Serwer raport.

Roztwór jest pobieranie wszystkich.NET Framework aktualizuje.

Dlaczego połączeń lokalnych przebiegu uwierzytelnianie włączona ochrona rozszerzona, ale nie można nawiązać połączenia zdalnego?

Podczas wykonywania uwierzytelnianie sprzężenia zwrotnego, systemu operacyjnego pomija mechanizm uwierzytelnianie i nie wymusza powiązania kanału.

Dlatego podczas używania połączeń HTTP i ustawienia konfiguracja:

  • RSWindowsExtendedProtectionLevel zestawAby Require

    ORAZ

  • RSWindowsExtendedProtectionScenario zestawAby Proxy

Lokalne połączenia kończy się pomyślnie, ale nie będzie połączeń zdalnych.

W zależności od adres URL używany do nawiązania połączenia lokalne i zastrzeżenia adresu URL skonfigurowane serwer raportów jest nadal możliwe, że połączenia lokalnego niepowodzenie błąd powiązanie usługa, ponieważ nazwy główna nazwa usługi, który został utworzony z rezerwację adresu URL może nie odpowiadać na liście nazwy główna nazwa usługi prawidłowe nazwy główna nazwa usługi.

Połączenie zdalne zawsze skończyło ustanawiają połączenie HTTP i nie ma bramy nie siedzisz między klientem i serwer raportów , jest skonfigurowany do udostępniania połączenia SSL.

Nieautoryzowane błędu 401, przy użyciu nagłówka hosta

W tym scenariuszu jest specyficzny dla skali poza wdrażania Reporting Services i występuje, jeśli Menedżer raportów i Report Server są na tym samym komputerze i korzystać z nagłówków hosta i Użyj uwierzytelnianie systemu Windows.Na przykład próbować uzyskać dostęp do Menedżer raportów na http://<Nazwa>/Reports, nie można zobaczyć listę raportów i folderów jak oczekiwano, ale będzie wyświetlany komunikat o błędzie "HTTP 401 (Unauthorized)".

Odwołanie <Nazwa> nie jest nazwa fizyczna komputera i jest uważany za "Nagłówek Host".Alternatywna nazwa komputera, na którym jest Reporting Services jest zainstalowany.Nagłówki hosta są również używane jako jedno źródło prawidłowe nazwy SPN po Reporting Services oblicza prawidłową listę SPN dla ochrony rozszerzonej.

Aby uniknąć błędu 401 unauthorized, trzeba będzie dodać NetBIOS i pełni kwalifikowaną domeny nazwy (FQDN) dla <Nazwa> do listy BackConnectionHostNames przechowywane w rejestrze systemu Windows.Uruchom ponownie komputer po wprowadzeniu zmian w rejestrze.

Aby uzyskać więcej informacji o dokonanie zmiany rejestru, zobacz sekcję "metoda 2: Określ nazwy hosta" w Microsoft bazy wiedzy Knowledge Base artykuł 896861, komunikat o błędzie 401.1 podczas przeglądania witryna sieci Web, który używa zintegrowanego uwierzytelniania i jest obsługiwana na IIS 5.1 lub nowszej wersja.

Komunikaty o błędach

Poniższa lista wiadomości mogą być widoczne w pliku dziennika śledzenia usługa serwer raportów.

Komunikat o błędzie

Typ

Przyczyna

Kroki rozwiązywania problemów

Brak lub nieprawidłowy ExtendedProtectionScenario

Błąd

  • RSWindowsExtendedProtectionScenarionie ma w rsreportserver.config pliku.

  • Aktualizacja plik konfiguracja do wartości domyślnych.

  • Wartości domyślne ustawienia RSWindowsExtendedProtectionLevel jest Off.

  • Wartości domyślne ustawienia RSWindowsExtendedProtectionScenario jest Proxy.

SSL jest wymagana dla połączeń serwera raportów ExtendedProtectionScenario zestaw do bezpośredniego

Błąd

  • RSWindowsExtendedProtectionScenariois zestaw to Direct.

  • Direct Opcja wymaga połączenia SSL.

  • Uzyskać certyfikat SSL i skonfiguruj adres URL protokołu SSL dla serwer raportów i Menedżer raportów.Tym samym trzeba zrobić administracji centralnej programu SharePoint przy użyciu Reporting Services w SharePoint zintegrowanym trybie.

  • Ustaw RSWindowsExtendedProtectionLevel do Off, aż certyfikatu SSL jest uzyskiwany i konfigurowany.

  • Ustaw RSWindowsExtendedProtectionScenario do Any, jeśli certyfikat SSL nie zostaną skonfigurowane i ochrony niektórych nadal jest pożądane.

Ruch HTTP na serwerze raportów powiedzie NTLM, Kerberos, negocjowanie uwierzytelnianie

Ostrzeżenie

  • RSWindowsExtendedProtectionScenariois zestaw to Direct.

  • Bezpośrednie wymaga protokołu SSL.

  • Rezerwację adresu HTTP URl jest skonfigurowany.Niepowodzenie uwierzytelnienia na tym rezerwację adresu URL.

  • Użycie protokołu HTTPS do komunikowania się serwer raportów.

  • Usuń przy użyciu zastrzeżenie HTTP URL Reporting Services Menedżera konfiguracja.

SSL jest wymagana na raport Menedżera połączeń ExtendedProtectionScenario zestaw do bezpośredniego

Błąd

  • RSWindowsExtendedProtectionScenariois zestaw to Direct.

  • Direct wymaga protokołu SSL.

  • Menedżer raportów nie ma adresu URl SSL skonfigurowany.

  • Uzyskać certyfikat SSL i skonfiguruj adres URL protokołu SSL dla serwer raportów i Menedżer raportów.Tym samym trzeba zrobić administracji centralnej programu SharePoint przy użyciu Reporting Services w SharePoint zintegrowanym trybie.

  • Ustaw RSWindowsExtendedProtectionLevel do Off aż certyfikat SSL jest uzyskiwany i konfigurowany.

  • Ustaw RSWindowsExtendedProtectionScenario do Any , jeśli certyfikat SSL nie zostaną skonfigurowane i ochrony niektórych nadal jest pożądane.

Bezpośrednie połączenia do serwera raportów zakończy się niepowodzeniem, NTLM, negocjowanie uwierzytelniania Kerberos

Ostrzeżenie

  • RSWindowsExtendedProtectionScenario jest Proxy; Żaden adres URl SSL jest skonfigurowany dla Menedżer raportów.

  • Gdy skonfigurowany w ten sposób, użytkownik musi być nawiązywania połączenia przez kanał SSL do serwera PROXY.Połączenie można przerwane przez urządzenie serwera Proxy.Jeśli połączenie bezpośrednie serwera SSRS bez kanał SSL, następnie uwierzytelnianie zakończy się niepowodzeniem.

  • Sprawdź klienci korzystają tylko z protokołu HTTPS.

  • Sprawdź serwer proxy jest skonfigurowana, który został skonfigurowany wypowiedzenie protokołu SSL.

  • Sprawdź wszystkie komputery lokalny i zdalny są skonfigurowane do korzystania z serwera proxy dla połączeń do serwer raportów i Menedżer raportów.Może to wymagać aktualizacji, aktualizacji serwera proxy przeglądarki lub niestandardowe wpisy w pliku hostów DNS dla komputera lokalnego.

  • Konfigurowanie adresu URL protokołu SSL na Reporting Services serwera dla serwera raportów i Menedżer raportów lub administracji centralnej programu SharePoint przy użyciu Reporting Services w trybie zintegrowanym programu SharePoint. Wszystkie połączenia lokalnego należy użyć adresu URL protokołu SSL. Założono, że proxy nie został skonfigurowany z zakończenia.

  • Ustawić adres URL Menedżer raportów jawnie do adresu URL serwera proxy za pomocą protokołu SSL.

Ruch HTTP do Menedżer raportów może się nie powieść NTLM, Kerberos, negocjowanie uwierzytelnianie

Ostrzeżenie

  • ExtendedProtectionScenariojest zestaw do Proxy i adres URl SSL jest skonfigurowany dla Menedżer raportów.

  • Skonfigurowany w ten sposób, użytkownicy łączący się za pośrednictwem serwera Proxy oczekiwać została wykonana pomyślnie uwierzytelnianie, nawet jeśli połączenie Menedżera raportów z serwera proxy nie jest przez kanał SSL.

  • Połączenia lokalnego Menedżera raportów należy użyć protokołu SSL.

  • Sprawdź klienci używają protokołu HTTPS (kanał SSL) tylko.

  • Sprawdź serwer proxy jest skonfigurowana, który został skonfigurowany wypowiedzenie protokołu SSL.

  • Sprawdź wszystkie komputery lokalny i zdalny są skonfigurowane do korzystania z serwera proxy dla połączeń do serwer raportów i Menedżer raportów.Może to wymagać aktualizacji, aktualizacji serwera proxy przeglądarki lub niestandardowe wpisy w pliku hostów DNS dla komputera lokalnego.

  • Konfigurowanie adresu URL protokołu SSL na Reporting Services serwera dla serwer raportów i Menedżer raportów.Wszystkie połączenia lokalnego należy użyć adresu URL protokołu SSL.Założono, że proxy nie został skonfigurowany z zakończenia.

  • Ustawić adres URL Menedżera raportów jawnie do adresu URL serwera proxy za pomocą protokołu SSL.

Błąd Państwa

Ta sekcja zawiera nazwy i opisy kodów błędów, które mogą być widoczne w dziennik śledzenia usługa serwer raportów dotyczących ochrony rozszerzonej.Aby uzyskać więcej informacji, zobacz Dziennik śledzenia usługi serwera raportów.

kod

Błąd Stan Nazwa

Opis

44

SNIAUTH_ERRST_SSPIHANDSHAKE_CHANNELBINDINGS_NOTSUPPORTED

System operacyjny nie obsługuje powiązania kanału, ale konfiguracja wymaga ochrony rozszerzonej serwer raportów.Aktualizacji systemu operacyjnego lub wyłączanie ochrony rozszerzonej.

45

SNIAUTH_ERRST_SSPIHANDSHAKE_CHANNELBINDINGS_EMPTYORWRONG

Powiązania kanału klient nie pasują do ustalonych kanału Transport Layer Security.Usługa może być celem ataku lub Dostawca danych może być konieczne uaktualnienie do wspierania ochrony rozszerzonej.Połączenie zostało zamknięte.

46

SNIAUTH_ERRST_SSPIHANDSHAKE_CHANNELBINDINGS_NULLOREMPTYORWRONG

Powiązania kanału z tego klient brakuje lub nie są zgodne z ustalonymi kanału Transport Layer Security.Usługa może być celem ataku lub dostawca danych lub systemu operacyjnego klient może być konieczne uaktualnienie wspieranie ochrony rozszerzonej.Połączenie zostało zamknięte.

48

SNIAUTH_ERRST_SSPIHANDSHAKE_SERVICEBINDINGS_UNSUPPORTED

System operacyjny nie obsługuje powiązań usługi, ale serwer jest skonfigurowany do wymagają ochrony rozszerzonej.Aktualizacji systemu operacyjnego lub wyłączanie ochrony rozszerzonej.

49

SNIAUTH_ERRST_SSPIHANDSHAKE_SERVICEBINDINGS_QUERYCONTEXTATTRIBUTES

QueryContextAttributes nie może pobrać powiązań usługi.Windows kod błędu wskazuje przyczynę błędu.

51

SNIAUTH_ERRST_SSPIHANDSHAKE_SERVICEBINDINGS_NULL

Poziom ochrony rozszerzonej serwer jest zestaw dozwolone lub wymagane, a klient nie dostarczył głównej nazwy usługi (główna nazwa usługi).Aby połączyć, to klient musi obsługiwać ochrony rozszerzonej.Trzeba zainstalować dodatek systemu operacyjnego, który umożliwia usługa wiążące i powiązania kanału.

52

SNIAUTH_ERRST_SSPIHANDSHAKE_SERVICEBINDINGS_EMPTY

Poziom ochrony rozszerzonej serwer jest zestaw dozwolone lub wymagane, a klient nie dostarczył główna nazwa usługi.Aby połączyć, to klient musi obsługiwać ochrony rozszerzonej.

53

SNIAUTH_ERRST_SSPIHANDSHAKE_SERVICEBINDINGS_SERVICECLASSMISMATCH

Element klasy usługi odebrane główna nazwa usługi nie jest prawidłowy.

54

SNIAUTH_ERRST_SSPIHANDSHAKE_SERVICEBINDINGS_IPADDRESSMISMATCH

Element adresu IP odebrane główna nazwa usługi nie jest prawidłowy.

55

SNIAUTH_ERRST_SSPIHANDSHAKE_SERVICEBINDINGS_HOSTNAMEMISMATCH

Element hosta odebrane główna nazwa usługi nie jest prawidłowy.

56

SNIAUTH_ERRST_SSPIHANDSHAKE_OOM

Alokacja pamięci nie powiodło się podczas sprawdzania poprawności odbieranych główna nazwa usługi.

57

SNIAUTH_ERRST_SSPIHANDSHAKE_SERVICEBINDINGS_WSASTRINGTOADDRESSFAILEDFORIPV6

Nie można przekonwertować adres IP elementu główna nazwa usługi odebrane struktury adresu WSAStringToAddress.Windows kod błędu wskazuje przyczynę błędu.