サービス、アカウント、および接続の計画

Reporting Services は複数のコンポーネントから構成される分散サーバー アプリケーションであり、一部のコンポーネントを別のコンピュータにインストールすることができます。配置の計画の一環として、ユーザーがレポート サーバーに接続する方法、レポート サーバーが内部データベースに接続する方法、およびレポートにデータを提供する外部データ ソースにサーバーが接続する方法を検討する必要があります。また、レポート サーバーを操作できるようにするためにセットアップの間またはその後に構成する必要があるサービス、アカウント、および接続について理解しておく必要もあります。さらに、ツールやタスクを実行するのに管理者権限が必要になるのはどのような場合かを把握しておく必要もあります。

Reporting Services の配置で使用される接続

Reporting Services の配置を計画する際には、3 種類の接続を構成および管理する必要があります。まず、ユーザーがレポート サーバーに接続する方法を検討します。次に、レポート サーバーからレポート サーバー データベースに接続する方法を検討します。そして最後に、レポートにデータを提供する外部データ ソースへの接続を定義する方法について検討します。この接続の定義は、レポート作成者やコンテンツ管理者が行うものです。

次の図は、既定のネイティブ モードでインストールされる構成での接続を示しています。この図から、定義または管理する必要がある接続の種類の概要がわかります。

Reporting Services での接続

SharePoint 統合モードの詳細については、「SharePoint 統合モードの Reporting Services のセキュリティ概要」を参照してください。

各接続の種類の詳細を次の表に示します。

接続

説明

1

ユーザーからレポート サーバーへの接続

ユーザーとアプリケーションは、レポート サーバー インスタンスに対して予約および登録されている URL 宛ての HTTP 要求を通じてレポート サーバーに接続します。URL を SSL 接続用に構成すると、暗号化されたチャネルでユーザーがレポート サーバーにアクセスできるようになります。

要求は、レポート サーバー Web サービスによって認証されます。既定では、Windows ドメインの資格情報と統合セキュリティを使用してユーザーが認証されますが、基本認証を使用するようにレポート サーバーを構成することもできます。また、カスタム認証拡張機能や HTTP モジュールを作成して配置し、既定の Windows 認証を、フォーム認証やシングル サインオン テクノロジと置き換えることもできます。SharePoint 統合モードでは、信頼されたモードも使用できます。レポート サーバーでカスタム フォーム認証を使用する場合、ユーザーは、その認証拡張機能に有効なログインを使用してレポート サーバーに接続します。

注意注意
基本認証、カスタム認証、または信頼されたモードを使用する際には、Secure Sockets Layer (SSL) を使用することをお勧めします。

ユーザーが認証されると、レポート サーバーでは、レポート サーバーのコンテンツに対するアクセスと操作を承認するための権限が確認されます。権限は、ユーザーがどのタスクを実行できるかを記述するロール割り当てで定義します。レポート サーバーに接続する各ユーザーは、レポート サーバーへの接続時に使用するアカウントに基づいてロール割り当てが定義されている必要があります。詳細については、「ネイティブ モードのレポート サーバーに対する権限の許可」、「サイト上のレポート サーバー アイテムに対する権限を設定する方法 (Reporting Services の SharePoint 統合モード)」、および「Reporting Services のロールおよびタスクと SharePoint のグループおよび権限の比較」を参照してください。SSL の詳細については、「Secure Socket Layer (SSL) 接続用レポート サーバーの構成」を参照してください。

2

レポート サーバーからレポート サーバー データベースへの接続

レポート サーバー データベースは、レポート サーバーの内部記憶域となるものです。レポート サーバーはレポート サーバー データベースに接続して、コンテンツ、サーバーの状態、およびメタデータの保存や取得を行います。ネイティブ モードでは、レポート サーバーにパブリッシュされたレポートは、レポート サーバー データベースに保存されます。SharePoint 統合モードでは、レポート、データ ソース、およびモデルのマスタ コピーが SharePoint コンテンツ データベースに保存されます。ユーザーやその他のアプリケーションからは、レポート サーバー データベースに接続できません。レポート サーバー データベースに接続できるのは、レポート サーバーだけです。

データベースを作成し、接続を構成するには、レポート サーバーを既定の構成でインストールするか、Reporting Services 構成ツールの [データベース] ページを使用します。レポート サーバー データベース接続を構成すると、データベースのログインが作成され、アカウントに権限が与えられます。さらに、レポート サーバー サービスからレポート サーバー データベースに接続できるようになります。

レポート サーバーがデータベースに接続するために使用できるアカウントの種類は次のとおりです。

  • サービス アカウント (既定値)

  • ドメイン アカウント

  • SQL Server ログイン

詳細については、「レポート サーバー データベースの作成」および「レポート サーバー データベース接続の構成」を参照してください。

3

レポート サーバーから外部データ ソースへの接続

レポートでは、データ ソース接続情報と実行時に処理されるクエリが含まれるか参照されています。レポート モデルでもデータ ソースが参照されています。

レポートで使用するデータを取得するため、レポート サーバーは、外部データ ソースをホストする他のサーバーに接続する必要があります。レポート サーバーは、レポートやモデルが実行されるとそのサーバーまたはコンピュータへの接続を開き、クエリを渡して、データセットが返されるのを待ちます。その後、その接続を閉じてから次の処理手順に移ります。

外部データ ソースに対する接続は、最初にレポートで定義され、レポートがパブリッシュされた後は、レポートとは独立して管理されます。実行時には、これらの接続は、レポートを実行しているユーザーではなく、レポート サーバーによって行われます。レポート サーバーは、特定のデータ ソースに資格情報を渡します。任意のデータ ソース接続について、レポート サーバーは次のいずれかの方法で資格情報を取得できます。

  • レポートを実行しているユーザーの委任された資格情報を借用または使用します。Windows 認証を使用するようにレポート データ ソースを構成するには、レポート サーバーでも既定の Windows セキュリティ拡張機能を使用するように構成する必要があります。レポート サーバーでフォーム認証または基本認証を使用している場合は、借用または委任された資格情報を使用するようにレポート データ ソースを構成することはできません。

  • ユーザーに資格情報の入力を要求します。

  • レポート サーバー データベースに格納されている資格情報を取得します。レポート サーバーは、データ ソースに対してクエリを実行する前に、これらの資格情報を Windows 資格情報として処理してこれらを借用することができます。

  • 資格情報を使用しません。このオプションは、自動実行アカウントを構成する場合にのみ使用できます。

接続の方法や使用可能な認証プロバイダは、ネットワーク トポロジ、ドメインの制限、およびデータ ソースの種類によって決まります。たとえば、レポートを要求するユーザーの Windows 統合セキュリティ コンテキストを使用してデータ ソース接続を開くには、次の要件が満たされている必要があります。

  • データ ソース自体が Windows 統合セキュリティをサポートしている必要があります。ユーザーには、そのデータベース サーバーのログインとアクセス権限が必要です。

  • ドメイン セキュリティ ポリシーで Kerberos ネットワーク認証がサポートされている必要があります。権限借用と委任が有効になっている必要もあります。

  • レポートまたは共有データ ソースで定義されるデータ ソース プロパティが Windows 統合セキュリティに設定されている必要があります。

レポート サーバーでは、接続や資格情報が作成されるときに検証は行われません。接続プロパティが有効かどうかを確認するには、レポートを実行する必要があります。データ ソース接続プロパティの設定の詳細については、「レポートのデータ ソースのプロパティを構成する方法 (レポート マネージャ)」を参照してください。外部データ ソースへの接続方法の詳細については、「データ ソースへの接続 (Reporting Services)」および「レポート データ ソースに関する資格情報と接続情報の指定」を参照してください。

4

自動実行アカウント

このアカウントは、自動レポート処理アカウントまたは実行アカウントと呼ばれることもあります。

自動実行アカウントに資格情報を提供すると、レポートを実行したりレポート定義内の URL から画像を取得したりする際にこのアカウントが使用されます。

データ ソースで資格情報を使用しない場合 (たとえば、データが XML ドキュメントの場合)、このオプションを選択できます。レポート サーバーでは、データ ソースをホストするコンピュータに接続するために、自動実行アカウントを使用します。このアカウントは、Reporting Services 構成ツールを使用して構成できます。詳細については、「自動実行アカウントの構成」を参照してください。

5

レポート サーバーから配信先への接続

レポート サーバーは、配信拡張機能を使用して、ファイル共有などの配信先への接続に使用する資格情報を収集します。配信拡張機能は、これらの資格情報を使用して配信先に接続します。

Reporting Services で使用されるサービス

Reporting Services には、対話型処理とバックグラウンド処理の両方にとって重要な機能を実行するいくつかのサービスがあります。配置された Reporting Services で使用されるサービスを次の表に示します。

サービス

説明

レポート サーバー サービス

レポート サーバーは、レポート サーバー Web サービス、レポート マネージャ、およびバックグラウンド処理のランタイム環境を提供する Windows サービスとして実装されます。

このサービスは、セットアップ時に登録されて構成されます。最初はセットアップ時に指定したアカウントで実行されますが、Reporting Services 構成ツールでアカウントを変更したりパスワードを更新したりすることができます。これらの操作には必ず Reporting Services 構成ツールを使用するようにしてください。このツールを使用すると、依存する設定が、新しいアカウント情報を使用するように更新されます。

選択するアカウントには、少なくとも、ネットワークに接続するための権限と、レポート サーバーおよびレポート サーバー データベースのコンピュータに対する "Allow Log on Locally" 権限が必要です。必ず最小特権のアカウントを選択してください。インターネット インフォメーション サービス (IIS) を実行するコンピュータに Reporting Services を配置している場合は、組み込みの Network Service アカウントを選択することもできます。監査のためには、Reporting Services サービスのみが使用する専用のアカウントを使用します。

サービス アカウントには、Windows ユーザー アカウントまたはビルトイン アカウント (ローカル システムなど) を使用できます。レポート サーバーが Kerberos 認証をサポートするネットワークに配置されている場合にドメイン ユーザー アカウントを指定するには、使用するドメイン ユーザー アカウントでレポート サーバーのサービス プリンシパル名 (SPN) を登録する必要があります。詳細については、「レポート サーバーのサービス プリンシパル名 (SPN) を登録する方法」を参照してください。

Reporting Services のプログラム ファイルにアクセスするための権限は、セットアップまたは Reporting Services 構成ツールを使用してアカウントを構成すると自動的に構成および管理されます。サービスに対する権限の要件の詳細については、「Windows サービス アカウントの設定」を参照してください。

アカウントまたはパスワードを変更する方法の詳細については、「レポート サーバー サービスのアカウントの構成」を参照してください。

SQL Server サービス

レポート サーバー データベースは、SQL Server 2005 または SQL Server 2008 のデータベース エンジンのインスタンスで実行されます。データベース エンジンは、MSSQLSERVER または名前付きインスタンスとして実行されます。このサービスが構成および実行されている必要があります。

レポート サーバー データベースにアクセスするための権限は、レポート サーバー データベースと共に作成される RSExecRole を通じて与えられます。このロールは、MSDBMasterreportserverreportservertempdb の各データベース上に作成されます。このロールの詳細については、「RSExecRole を作成する方法」を参照してください。

SQL Server エージェント サービス

Reporting Services では、スケジュールされた処理のイベントをトリガするためのタイマとして SQL Server エージェント サービスが使用されます。このサービスは、スケジュールされた操作のために必要で、レポート サーバー データベースをホストするデータベース サーバーで構成および実行されている必要があります。

ドメイン アカウントと Windows 認証を使用して (SQL Server ログインやサービス アカウントを使用せずに) SQL Server に接続するようにレポート サーバーを構成した場合、SQL Server エージェント サービスはドメイン ユーザー アカウントで実行する必要があります。レポート サーバーをドメイン ユーザーで実行すると、レポート サーバーによりそのドメイン アカウントで所有される SQL Server エージェント ジョブが作成されます。SQL Server エージェントがタスクをスケジュールや配信のプロセッサへルーティングできるようにするには、SQL Server エージェントは、ドメイン アカウントで所有されたジョブのジョブ情報にアクセスするための権限を持っている必要があります。SQL Server エージェントをローカル ユーザー アカウントとして実行すると、サービスにはドメイン アカウント情報にアクセスするための権限がないため、後でレポートのサブスクリプションおよび配信に失敗します。

スケジュールされた操作と、サービスの停止や再開がサブスクリプション キューに与える影響の詳細については、「スケジュールおよび配信のプロセッサ」を参照してください。

SQL Server エージェント アカウントの構成の詳細については、「サービス、アカウント、および接続の計画」および「レポート サーバー サービスのアカウントの構成」を参照してください。

SQL Server Browser サービス

データベース エンジンの名前付きリモート インスタンスを使用してレポート サーバー データベースをホストする場合は、リモート サーバーで SQL Server Browser サービスを有効にして実行します。SQL Server Browser によって、名前付きインスタンスで使用されるポート番号が Reporting Services 構成ツールに提供されます。Reporting Services 構成ツールは、レポート サーバー データベースを作成または構成するときに、そのポート番号を使用してデータベース エンジンに接続します。

Windows Management Instrumentation

構成対象のレポート サーバー上で、Windows Management Instrumentation (WMI) サービスが有効化および実行されている必要があります。Reporting Services 構成ツールは、レポート サーバーの WMI プロバイダを使用して、ローカルおよびリモートのレポート サーバーに接続します。リモートのレポート サーバーを構成する場合は、そのコンピュータでリモートの WMI アクセスが許可されている必要があります。詳細については、「レポート サーバーをリモート管理用に構成する方法」を参照してください。

リモート プロシージャ コール (RPC)

このサービスはコア オペレーティング システムの一部であり、既定で自動スタートアップが有効になっています。Reporting Services は、このサービスを使用してレポート サーバーを初期化します。レポート サーバーの操作のためにはこのサービスが構成および実行されている必要があります。さらに、Reporting Services 構成ツールを使用することで、RPC で DCOM を有効にしてリモート管理を許可する必要があります。

管理者権限

Reporting Services のサービス、アカウント、および接続を管理するには、レポート サーバー コンピュータのローカルの Administrators グループのメンバになっているアカウントでログインする必要があります。管理者権限が必要な操作を以下に示します。

  • SQL Server セットアップを実行する。

  • Reporting Services 構成ツールを実行する。レポート サーバーがリモート管理用に構成されていて、権限が有効になっている場合は、このツールを管理者以外のユーザーとして実行できます。手順については、「レポート サーバーをリモート管理用に構成する方法」を参照してください。

  • Reporting Services でシステム管理者ロールのメンバでない場合は、SQL ServerManagement Studio を実行する。

  • Windows Vista または Windows Server 2008 でレポート サーバーをローカル管理用に構成する。詳細については、「Windows Vista および Windows Server 2008 でレポート サーバーをローカル管理用に構成する方法」を参照してください。

  • レポート サーバー インスタンスと統合する SharePoint 製品またはテクノロジのインスタンスがあるサーバーで、Reporting Services アドインをインストールして構成する。さらに、アドインをインストールするユーザーは、SharePoint サイト コレクションの管理者グループに属している必要があります。属していない場合は、Reporting Services の機能はインストール後にアクティブ化されないため、サイト コレクションの管理者グループのメンバは、Reporting Services の機能が動作するようにアクティブ化する必要があります。