SSRS-Verschlüsselungsschlüssel: Initialisieren eines Berichtsservers

In Reporting Serviceskann ein initialisierter Server Daten in einer Berichtsserver-Datenbank verschlüsseln und entschlüsseln. Die Initialisierung ist die Voraussetzung für Berichtsservervorgänge. Die Initialisierung wird ausgeführt, wenn der Berichtsserverdienst zum ersten Mal gestartet wird. Sie wird ebenfalls ausgeführt, wenn Sie den Berichtsserver mit vorhandenen Bereitstellung verknüpfen, oder wenn Sie die Schlüssel manuell, als Teil des Wiederherstellungsprozesses neu erstellen. Weitere Informationen dazu, wie und warum Verschlüsselungsschlüssel verwendet werden, finden Sie unter Konfigurieren und Verwalten von Verschlüsselungsschlüsseln (Berichtsserver-Konfigurations-Manager) und Speichern verschlüsselter Berichtsserverdaten (Berichtsserver-Konfigurations-Manager).

Verschlüsselungsschlüssel basieren teilweise auf den Profilinformationen des Berichtsserverdiensts. Wenn Sie die Benutzeridentität ändern, mit der Sie den Berichtsserverdienst ausführen, müssen Sie die Schlüssel entsprechend aktualisieren. Wenn Sie das Reporting Services-Konfigurationstool verwenden, um Ihre Identität zu ändern, wird dieser Schritt automatisch für Sie erledigt.

Falls die Initialisierung fehlschlägt, sendet der Berichtsserver einen RSReportServerNotActivated -Fehler als Antwort auf Benutzer- und Dienstanforderungen zurück. In diesem Fall müssen Sie möglicherweise die Problembehandlung für das System oder die Serverkonfiguration ausführen. Weitere Informationen finden Sie unter Problembehandlung bei Reporting Services-Problemen mit Berichten.

Übersicht über den Initialisierungsprozess

Der Initialisierungsprozess erstellt und speichert einen symmetrischen Schlüssel, der zur Verschlüsselung verwendet wird. Der symmetrische Schlüssel wird von den Microsoft Windows-Kryptografiediensten erstellt und anschließend vom Berichtsserverdienst verwendet, um Daten zu ver- und entschlüsseln. Der symmetrische Schlüssel selbst wird mit einem asymmetrischen Schlüssel verschlüsselt.

Die folgenden Schritte beschreiben den Initialisierungsprozess:

  1. Beim ersten Start liest der Berichtsserverdienst die Datei RSReportServer.config, um die Installations-ID und die Datenbank-Verbindungsinformationen abzurufen.

  2. Der Berichtsserverdienst fordert einen öffentlichen Schlüssel von den Kryptografiediensten an. Windows erstellt einen privaten und öffentlichen Schlüssel und sendet den öffentlichen Schlüssel an den Berichtsserverdienst.

  3. Der Berichtsserverdienst stellt eine Verbindung zur Berichtsserver-Datenbank her und speichert die Werte der Installations-ID und des öffentlichen Schlüssels.

  4. Der Berichtsserverdienst ruft die Kryptografiedienste erneut auf und fordert diesmal einen symmetrischen Schlüssel an. Windows erstellt den symmetrischen Schlüssel.

  5. Der Berichtsserverdienst stellt erneut eine Verbindung zur Berichtsserver-Datenbank her und fügt den symmetrischen Schlüssel zu den Werten des öffentlichen Schlüssels und der Installations-ID hinzu, die in Schritt 3 gespeichert wurden. Bevor der Berichtsserverdienst seinen öffentlichen Schlüssel speichert, verwendet er ihn zum Verschlüsseln des symmetrischen Schlüssels. Sobald der symmetrische Schlüssel gespeichert ist, gilt der Berichtsserver als initialisiert und verfügbar.

Initialisieren eines Berichtsservers für die Bereitstellung für horizontales Skalieren

Reporting Services unterstützt ein Bereitstellungsmodell für horizontales Skalieren, bei dem eine einzelne Berichtsserver-Datenbank für mehrere Berichtsserverinstanzen verwendet wird. Um an einer Bereitstellung für horizontales Skalieren teilzunehmen, muss ein Berichtsserver seine Kopie des symmetrischen Schlüssels in der freigegebenen Datenbank erstellen und speichern. Obwohl ein einzelner symmetrischer Schlüssel von Servern verwendet wird, die die Datenbank verwenden, verfügt jeder Berichtsserver über eine Kopie des Schlüssels. Jede Kopie variiert hinsichtlich ihrer eindeutigen Verschlüsselung des öffentlichen Schlüssels, deren Besitzer sie ist.

Die ersten Schritte zum Initialisieren eines Berichtsservers zur Bereitstellung für horizontales Skalieren stimmen mit den ersten drei Schritten überein, die die Initialisierung einer Kombination aus einem einzelnen Server und einer Datenbank beschreiben.

Der Initialisierungsprozess für eine Bereitstellung für horizontales Skalieren unterscheidet sich darin, wie der Berichtsserver den symmetrischen Schlüssel abruft. Wenn der erste Server initialisiert ist, ruft er von Windows den symmetrischen Schlüssel ab. Wenn der zweite Server während der Konfiguration der Bereitstellung für horizontales Skalieren initialisiert wird, ruft er den symmetrischen Schlüssel vom Berichtsserverdienst ab, der bereits initialisiert ist. Die erste Berichtsserverinstanz verwendet den öffentlichen Schlüssel der zweiten Instanz, um eine verschlüsselte Kopie des symmetrischen Schlüssels für die zweite Berichtsserverinstanz zu erstellen. Der symmetrische Schlüssel wird an keinem Punkt dieses Prozesses als Nur-Text offen gelegt

Initialisieren eines Berichtsservers

Hinweis

RSKeymgmt ist eine Konsolenanwendung, die Sie über eine Befehlszeile auf einem Computer ausführen, der eine Berichtsserverinstanz hostet, die bereits Teil einer Bereitstellung für horizontales Skalieren ist. Wenn Sie das Hilfsprogramm ausführen, geben Sie Argumente zum Auswählen einer Remote-Berichtsserverinstanz an, die Sie initialisieren möchten.

Ein Berichtsserver wird nur initialisiert, wenn eine Übereinstimmung zwischen der Installations-ID und dem öffentlichen Schlüssel vorliegt. Bei einer Übereinstimmung wird ein symmetrischer Schlüssel erstellt, der die umkehrbare Verschlüsselung ermöglicht. Wenn die Übereinstimmung fehlschlägt, wird der Berichtsserver deaktiviert. In diesem Fall werden Sie möglicherweise aufgefordert, einen Sicherungsschlüssel anzuwenden oder die verschlüsselten Daten zu löschen, wenn ein Sicherungsschlüssel nicht verfügbar oder ungültig ist. Weitere Informationen zu Verschlüsselungsschlüsseln, die von einem Berichtsserver verwendet werden, finden Sie unter Konfigurieren und Verwalten von Verschlüsselungsschlüsseln (Berichtsserver-Konfigurations-Manager).

Hinweis

Sie können auch den Reporting Services -WMI-Anbieter (Windows Management Instrumentation, Windows-Verwaltungsinstrumentation) verwenden, um einen Berichtsserver programmgesteuert zu initialisieren. Weitere Informationen finden Sie unter Zugreifen auf den Reporting Services-WMI-Anbieter.

Bestätigen der Initialisierung eines Berichtsservers

Wenn Sie die Initialisierung des Berichtsservers bestätigen möchten, pingen Sie den Berichtsserver-Webdienst, indem Sie https://<Servername>/reportserver in das Befehlsfenster eingeben. Wenn der RSReportServerNotActivated -Fehler auftritt, ist die Initialisierung fehlgeschlagen.