Aracılığıyla paylaş


Nasıl yapılır: Raporlama Hizmetleri Windows kimlik doğrulamasını yapılandırma

Varsayılan olarak, Reporting Services kabul edip isteklerini belirten anlaş veya ntlm kimlik doğrulaması.Dağıtım istemci uygulamaları ve bu güvenlik sağlayıcıları kullanan tarayıcıları içeriyorsa, ek yapılandırma olmadan varsayılan değerleri kullanabilirsiniz.Farklı güvenlik sağlayıcısı (örneğin, Kerberos doğrudan kullanmak istiyorsanız) Windows tümleşik güvenliğini kullanmak istiyorsanız, veya değiştirdiğiniz varsayılan değerler ve özgün ayarları geri yükleme yüklemek istiyorsanız, bilgileri bu konudaki temel kimlik doğrulamasısı ayarlarını belirlemek için kullanabileceğiniz rapor sunucusu.

Windows'u kullanmak için tümleşik güvenliği her kullanıcının erişmesi için rapor sunucusu geçerli bir Windows yerel olması gerekir veya etki alanı kullanıcı hesabı veya yerel bir Windows üye veya etki alanı grup hesabı.Bu etki alanlarının güvenilir olduğunu sürece diğer etki alanlarında hesapları içerebilir.Hesaplara erişimi olmalıdır rapor sunucusu bilgisayar ve sonradan roller için özel erişim kazanmak için atanmış olması gerekir rapor sunucusu işlemleri.

Ayrıca aşağıdaki ek gereksinimlerin karşılanması gerekir:

  • RSeportServer.config dosyaları olmalıdır AuthenticationType küme için RSWindowsNegotiate, RSWindowsKerberos, veya RSWindowsNTLM.Varsayılan olarak, RSReportServer.yapılandırma dosyası içeren RSWindowsNegotiate ayarı ise Report Server hizmet hesabını NetworkService veya LocalSystem; Aksi takdirde, RSWindowsNTLM ayarı kullanılır.Ekleyebileceğiniz RSWindowsKerberos sorununuz uygulamalar yalnızca kullanan Kerberos kimlik doğrulaması.

    Önemli notÖnemli

    Kullanarak RSWindowsNegotiate , rapor sunucusu hizmeti bir etki alanı kullanıcı hesabı altında çalıştırmak için yapılandırılmış ve size kaydetme bir hizmet asıl adı (spn) için hesap Kerberos kimlik doğrulaması hatası neden olacaktırDaha fazla bilgi için bkz: Çözme Kerberos kimlik doğrulama hataları, bağlanan bir rapor sunucusu için bu konuda.

  • ASP.NET Windows kimlik doğrulaması için yapılandırılmış olması gerekir.Varsayılan olarak, Web.config dosyaları için Rapor Sunucusu Web hizmet ve Rapor Yöneticisi dahil <kimlik doğrulaması modu = "Windows"> ayarı.Kendisine değiştirirseniz, <kimlik doğrulama modu = "Formlar">, Windows kimlik doğrulaması için Reporting Services will fail.

  • Rapor sunucusu Web hizmet için Web.config dosyaları ve Rapor Yöneticisi olması gerekir <kimliğini taklit = "true" />.

  • Bir istemci uygulaması ya da Tarayıcı tümleşik Windows güvenliği desteklemesi gerekir.

Rapor sunucusu kimlik doğrulaması ayarlarını değiştirmek için xml öğeleri ve RSReportServer değerleri düzenleyin.yapılandırma dosyası.Kopyalayın ve bu konuda belirli birleşimleri uygulamak için örnekler yapıştırın.

Varsayılan ayarlar tüm istemci ve sunucu bilgisayarlar için de aynı olması durumunda en iyi çalışan etki alanı veya güvenilir bir etki alanı ve bir şirket güvenlik duvarı arkasında intranet erişimi için rapor sunucusu dağıtılır.Tek ve güvenilen etki alanları için Windows kimlik bilgileri bilgilerini zorunludur.Kimlik geçen birden fazla saat sunucularınız için Kerberos sürüm 5 iletişim kuralı etkinleştirirseniz.Aksi takdirde, kimlik bilgilerini yalnızca bir kez geçirilebilir saat süreleri dolmadan.Birden çok bilgisayar bağlantıları için kimlik bilgileri bilgilerini yapılandırma hakkında daha fazla bilgi için bkz: Kimlik bilgisi ve raporu veri kaynakları (ssrs) için bağlantı bilgilerini belirtme.

Aşağıdaki yönergeler, yerel mod rapor sunucusu için hazırlanmıştır.rapor sunucusu Dağıtılmış olan SharePoint tümleşik modda Windows tümleşik güvenliği belirttiğiniz varsayılan kimlik doğrulaması ayarlarını kullanmanız gerekir.Rapor sunucusu SharePoint ile tümleşik modda rapor sunucuları desteklemek için varsayılan Windows kimlik doğrulama uzantısı dahili özelliklerini kullanır.

Kimlik doğrulaması için genişletilmiş koruma

İle başlayan SQL Server 2008 R2, kimlik doğrulaması için genişletilmiş koruma için destek.The SQL Server feature supports the use of channel binding and service binding to enhance protection of authentication.The Reporting Services features need to be used with an operating system that supports Extended Protection. Reporting Services configuration for extended protection is determined by settings in the RSReportServer.config file.Dosya, dosyayı düzenleme veya WMI API'leri kullanılarak güncelleştirilebilir.Daha fazla bilgi için bkz: Raporlama Hizmetleri ile kimlik doğrulaması için genişletilmiş koruma ve Genişletilmiş Koruma (Raporlama Servisleri) sorun giderme.

Windows tümleşik güvenliği kullanmak için rapor sunucusu yapılandırmak için

  1. RSReportServer.config bir metin düzenleyicisinde açın.

  2. Find <Authentication>.

  3. Gereksinimlerinize en iyi uyan aşağıdaki xml yapıları kopyalayın.Belirtebileceğiniz RSWindowsNegotiate, RSWindowsNTLM, ve RSWindowsKerberos bir sipariş.Tek tek her isteğini yerine bağlantı doğrulamak isterseniz, kimlik doğrulaması sürekliliğini etkinleştirmeniz gerekir.Kimlik doğrulaması sürekliliğini altında kimlik doğrulaması gerektiren tüm istekleri bağlantı süresi için verilir.

    İlk xml yapısını varsayılan değer olan yapılandırma NetworkService veya LocalSystem Report Server hizmet hesabını olduğunda:

    <Authentication>
          <AuthenticationTypes>
                 <RSWindowsNegotiate />
          </AuthenticationTypes>
          <EnableAuthPersistence>true</EnableAuthPersistence>
    </Authentication>
    

    İkinci xml yapısını varsayılan değer olan yapılandırma ne zaman rapor sunucusu hizmet hesabı olmayan NetworkService veya LocalSystem:

    <Authentication>
          <AuthenticationTypes>
                 <RSWindowsNTLM />
          </AuthenticationTypes>
          <EnableAuthPersistence>true</EnableAuthPersistence>
    

    </ Kimlik doğrulaması>

    Üçüncü xml yapısı tüm Windows tümleşik güvenlik içinde kullanılan güvenlik paketleri belirtir:

          <AuthenticationTypes>
                 <RSWindowsNegotiate />
                 <RSWindowsKerberos />
                 <RSWindowsNTLM />
          </AuthenticationTypes>
    

    Dördüncü xml yapısını ntlm Kerberos desteği dağıtımları için Kerberos kimlik doğrulaması hatalarına bir çözüm bulmak için belirtir:

          <AuthenticationTypes>
                 <RSWindowsNTLM />
          </AuthenticationTypes>
    
  4. Bunu mevcut girişleri üzerinden yapıştırın <Authentication>.

    Kullanamazsınız Not Custom ile RSWindows türleri.

  5. Genişletilmiş koruma ayarlarını uygun şekilde değiştirin.Varsayılan olarak, genişletilmiş koruma devre dışı bırakılır.Bu girdi yoksa, geçerli bilgisayar sürüm çalışmıyor olabilir Reporting Services destekler, genişletilmiş koruma.Daha fazla bilgi için bkz. Raporlama Hizmetleri ile kimlik doğrulaması için genişletilmiş koruma

          <RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel>
          <RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionScenario>
    
  6. Dosyayı kaydedin.

  7. genişleme dağıtımı yapılandırdıysanız, diğer rapor sunucuları dağıtımı için bu adımları yineleyin.

  8. Yeniden rapor sunucusu açık olan oturumlara temizlemek için.

Rapor sunucuya bağlanırken Kerberos kimlik doğrulama hataları çözme

Kerberos kimlik doğrulama hatası ise Negotiate veya Kerberos kimlik doğrulaması için yapılandırılmış bir rapor sunucusu rapor sunucusu için bir istemci bağlantısı başarısız olur.Kerberos kimlik doğrulaması hataları bilinen oluştuğu zaman:

  • Raporu sunucu hizmeti bir Windows etki alanı kullanıcı hesabı olarak çalışır ve bir hizmet asıl adı (spn) için hesap kaydı yapılamadı.

  • Rapor sunucusu ile yapılandırılmış RSWindowsNegotiate ayarı.

  • Tarayıcı Kerberos kimlik doğrulaması üstbilgisi rapor sunucusu gönderir isteğinde bulunan ntlm seçer.

Yapabilirsiniz algılamak Kerberos günlüğü etkinleştirildiğinde hata.Hata başka bir belirtisi, birden çok kez kimlik bilgileri sorulur ve boş tarayıcı penceresine bakın olur.

Kerberos kimlik doğrulaması hatası kaldırarak karşılaşıyor onaylamak < RSWindowsNegotiate /> karşı yapılandırma dosyası ve bulunmadan bağlantı.

Sorun doğruladıktan sonra aşağıdaki yollarla adres:

  • Raporu sunucu hizmet etki alanı kullanıcı hesabı altında bir spn kaydettirin.Daha fazla bilgi için bkz: Nasıl yapılır: Bir rapor sunucusu için bir hizmet asıl adı (spn) kaydettirin..

  • Hizmet hesabı ağ hizmeti gibi yerleşik bir hesap altında çalışacak biçimde değiştirin.Yerleşik hesaplar olan ana spn için http spn eşlemek ne zaman tanımlı, birleştirmek ağa bir bilgisayar.Daha fazla bilgi için bkz: Nasıl yapılır: Bir hizmet hesabı için Raporlama Hizmetleri Yapılandırma.

  • ntlm kullanın.ntlm, genellikle burada Kerberos kimlik doğrulaması başarısız kaldığı durumlarda işe yarar.ntlm kullanmak için kaldırma RSWindowsNegotiate RSReportServer.yapılandırma dosyası , yalnızca doğrulayın ve RSWindowsNTLM belirtilir.Bu yaklaşımı tercih ederseniz, bir spn için tanımladığınız değilse bile, için rapor sunucusu hizmet bir etki alanı kullanıcı hesabını kullanmak devam edebilirsiniz.

Günlük bilgisi

Kerberos çözmeye yardımcı olabilir günlüğü bilgilerini çeşitli kaynaklardan vardır ile ilgili sorunlar.

Kullanıcı hesabı denetimi özniteliği

Olup Reporting Services hizmet hesabı bulunan yeterli öznitelik küme Active Directory içindeOturum için UserAccountControl değerini bulmak için Raporlama Hizmetleri hizmet izleme günlük dosyası gözden öznitelik.Günlüğe kaydedilen değeri ondalık biçimdedir.Ondalık değer onaltılık formuna dönüştürmek ve sonra kullanıcı hesabı denetimi özniteliği tanımlayan msdn konusuna bu değeri bulmak gerekir.

  • Raporlama Hizmetleri hizmet izleme günlüğü girişi aşağıdakine benzer görünümde olacaktır:

    appdomainmanager!DefaultDomain!8f8!01/14/2010-14:42:28:: i INFO: The UserAccountControl value for the service account is 590336
    
  • Değer ondalık değer onaltılık forma dönüştürmek için bir seçenek, bize Microsoft Windows hesap makinesi.Windows hesap makinesi 'Dec' gösteren birkaç modlarını destekler seçenek ve 'Onaltılık' Seçenekleri.'Ara' seçin seçenek, günlük dosyasında bulunan ve 'Onaltılık' seçin ondalık değeri yazın ya da yapıştırın seçenek.

  • Sonra konusuna bakın Kullanıcı hesabı denetimi özniteliği hizmet hesabı için öznitelik türetmek için.

SsRSnoversion hizmet hesabı için Active Directory'de SPN'ler yapılandırıldı.

SPN'ler oturum açmak için Reporting Services hizmet izleme günlük dosyası, etkinleştirebilir Reporting Services genişletilmiş koruma özelliğini geçici olarak.

  • Değiştirmek yapılandırma dosyası rsreportserver.config aşağıdaki ayarı:

    <RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel> 
    <RSWindowsExtendedProtectionScenario>Any</RSWindowsExtendedProtectionScenario>
    
  • Yeniden Reporting Services hizmet ve izleme günlük dosyasında aşağıdakine benzer girdileri arayın:

    rshost!rshost!e44!01/14/2010-14:43:51:: i INFO: Registered valid SPNs list for endpoint 2: rshost!rshost!e44!01/14/2010-14:43:52:: i INFO: SPN Whitelist Added <Explicit> - <HTTP/sqlpod064-13.w2k3.net>.
    
  • Altında değerleri <açık> için Active Directory'de yapılandırılan SPN içerecek Reporting Services hizmet hesabı.

Genişletilmiş koruma, sonra kullanmaya devam etmek istediğiniz değil, küme yapılandırma değerleri varsayılanlarına geri ve yeniden Reporting Services hizmet hesabı.

<RSWindowsExtendedProtectionLevel>Off</RSWindowsExtendedProtectionLevel>
<RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionScenario>

Daha fazla bilgi için bkz: Raporlama Hizmetleri ile kimlik doğrulaması için genişletilmiş koruma

Anlaşılan Kerberos veya ntlm anlaşılan nasıl tarayıcı seçer

rapor sunucusu bağlanmak için Internet Explorer'ı kullandığınızda, anlaşılan Kerberos ya da ntlm kimlik doğrulaması üstbilgisi üzerinde belirtir.Kerberos yerine ntlm kullanılan zaman:

  • İstek bir yerel rapor sunucusu gönderilir.

  • Bir IP adresine gönderilen istek rapor sunucusu ana bilgisayar üstbilgi veya sunucu adı yerine bilgisayar.

  • Güvenlik Duvarı yazılım blokları bağlantı noktaları, Kerberos kimlik doğrulaması için kullanılır.

  • İşletim sisteminin belirli bir sunucuyu Kerberos etkinleştirilmiş sahip değil.

  • Etki alanı Windows istemci ve sunucu işletim sisteminin daha yeni sürümlerine yerleşik Kerberos kimlik doğrulaması özelliğini desteklemeyen sistemlerinde eski sürümlerini içerir.

Buna ek olarak, Internet Explorer anlaşılan Kerberos veya ntlm nasıl url, lan ve proxy ayarlarını yapılandırdığınız bağlı tercih edebilirsiniz.

Rapor sunucusu url

url bir tam etki alanı adı varsa, Internet Explorer ntlm seçer.url localhost belirtiyorsa, Internet Explorer ntlm seçer.Bilgisayarın ağ adını URL'yi belirtir, Internet Explorer başarılı veya başarısız bir spn için rapor sunucusu hizmet hesabı var bağlı anlaşma seçer.

Yerel Ağ ve istemci Proxy ayarları

lan ve proxy küme, sizin tings küme Internet Explorer'ın ntlm Kerberos seçmiş olup olmadığını belirleyebilirsiniz.lan ve proxy ayarlarını kuruluşlar arasında değişir, ancak kesin olarak belirlemek için Kerberos kimlik doğrulaması hataları katkıda bulunan tam ayarları mümkün değildir, çünkü.Örneğin, kuruluşunuzun intranet URL'lerden URL'leri çözmek Internet bağlantıları üzerinden tam etki alanı adı URL'lere dönüştürmek proxy ayarlarını uygulayabilirler.Farklı tür URL'ler için farklı kimlik doğrulaması sağlayıcıları kullandıysanız, bunları başarısız beklediğiniz, bazı bağlantılar başarılı bulabilirsiniz.

kimlik doğrulaması hataları nedeniyle olduğunu düşündüğünüz bağlantı hataları karşılaşırsanız, sorunu yalıtmak için lan ve proxy ayarlarını farklı birleşimlerini deneyebilirsiniz.lan ve proxy ayarlarını Internet Explorer'da bulunan yerel ağ (lan) ayarları tıklatarak Aç iletişim kutusunda, lan Ayarları üzerinde bağlantı sekmesinde Internet Seçenekleri.