Configurar a conta de serviço do Servidor de Relatório (Gerenciador de Configurações do Servidor de Relatório)

Aplica-se a: SQL Server 2016 (13.x) Reporting Services e versões posteriores Servidor de Relatórios do Power BI

Reporting Services é implementado com um único serviço que contém um serviço Web do Servidor de Relatório, um portal da Webe um aplicativo de processamento em segundo plano usado para processamento agendado de relatórios e entrega de assinaturas. Este artigo explica como uma conta de serviço é configurada inicialmente e como modificar a conta ou a senha usando a ferramenta Configuração do Reporting Services.

Configuração inicial

A conta de serviço do Servidor de Relatório é definida durante a Instalação. Você pode executar o serviço em uma conta de usuário do domínio ou uma conta interna, como uma Conta de Serviço Virtual. Não há nenhuma conta padrão. Qualquer conta especificada na página Contas de Serviço do Assistente de Instalação torna-se a conta inicial do serviço do Servidor de Relatório.

Importante

Embora o serviço Web do Servidor de Relatório e o portal da Web sejam aplicativos do ASP.NET separados, eles são executados em uma única arquitetura de serviço na mesma identidade de processo do Servidor de Relatório.

Observação

Não há suporte para contas de serviço internas do Windows (Serviço Local ou Serviço de Rede) como contas de serviço do servidor de relatório em um computador que seja controlador de domínio.

Alterar a conta de serviço

Para exibir e reconfigurar as informações da conta de serviço, sempre use o Reporting Services Configuration Manager. As informações sobre identidade de serviço são armazenadas internamente em vários locais. Quando você usa a ferramenta, todas as referências são atualizadas adequadamente sempre que você altera a conta ou a senha. O Gerenciador de Configurações do Reporting Services executa as seguintes etapas extra para garantir que o servidor de relatório permaneça disponível:

  • Adiciona automaticamente a nova conta para o grupo de servidor de relatório criado no computador local. Esse grupo é especificado nas ACLs (listas de controle de acesso) que protegem os arquivos do Reporting Services .

  • Atualiza automaticamente as permissões de início de sessão na instância do SQL Server Mecanismo de Banco de Dados usada para hospedar o banco de dados do servidor de relatório. A nova conta é adicionada à RSExecRole.

    O início de sessão do banco de dados da conta antiga não é removido automaticamente. Lembre-se de remover contas que não estejam mais sendo usadas. Para obter mais informações, confira Administrar um banco de dados de servidor de relatório (modo nativo do SSRS).

    A concessão de permissões do banco de dados para a nova conta de serviço ocorrerá apenas se você tiver configurado a conexão de banco de dados do servidor de relatório para usar a conta de serviço. Se tiver configurado a conexão do banco de dados do servidor de relatório para usar uma conta de usuário do domínio ou um início de sessão do banco de dados do SQL Servera atualização da conta de serviço não afeta as informações sobre a conexão.

  • Atualiza automaticamente a chave de criptografia para incluir as informações de perfil da conta nova.

    Observação

    Se o servidor de relatório fizer parte da implantação escalável, somente o servidor de relatório que você está atualizando será afetado. As chaves de criptografia para outros servidores de relatório na implantação não são afetadas pela alteração da conta de serviço.

Configurar a conta de serviço do Servidor de Relatório

  1. Inicie o gerenciador de Configuração do Reporting Services e conecte-se ao servidor de relatório.

  2. Na página Conta de Serviço, selecione a opção que descreve o tipo de conta que você deseja usar.

  3. Se você tiver selecionado uma conta de usuário do Windows, especifique a nova conta e a senha. A conta não pode ter mais de 20 caracteres e não pode conter caracteres especiais " / \ [ ] : ; | = , + * ? < > ' por regras de nomenclatura de conta de usuário do Windows.

    Se você implantar o servidor de relatório em uma rede compatível com a autenticação Kerberos, você precisará registrar o SPN (nome da entidade de serviço) do servidor de relatório com a conta de usuário de domínio que você tiver especificado. Para obter mais informações, confira Registrar um SPN (Nome da Entidade de Serviço) para um servidor de relatório.

  4. Escolha Aplicar.

  5. Quando for solicitado que você faça backup da chave simétrica, digite um nome de arquivo e um local para o backup da chave simétrica. Digite uma senha para bloquear e desbloquear o arquivo e selecione OK.

  6. Se o servidor de relatório usar a conta de serviço para conectar-se ao banco de dados do servidor de relatório, as informações de conexão serão atualizadas para usar a nova conta ou senha. A atualização das informações da conexão exige que você se conecte ao banco de dados. Se a caixa de diálogo Conexão de Banco de Dados do SQL Server for exibida, insira as credenciais que têm permissão para se conectar ao banco de dados e, em seguida, selecione OK.

  7. Quando for avisado para restaurar a chave simétrica, digite a senha que você especificou na etapa 5 e selecione OK.

  8. Para verificar se todas as tarefas foram concluídas com êxito, revise as mensagens de status no painel Resultados.

Escolha uma conta

Para obter melhores resultados, especifique uma conta que tenha permissões de conexão de rede, com acesso a controladores de domínio de rede e servidores ou gateways de protocolo SMTP corporativos. A tabela a seguir resume as contas e fornece recomendações sobre como usá-las.

Observação

Não há suporte para Contas de Serviço Gerenciado de Grupo como uma conta de serviço do servidor de relatório.

Conta Explicação
Contas de usuário de domínio Se você tiver uma conta de usuário de domínio do Windows que possua as permissões mínimas necessárias para operações do servidor de relatório, deverá usá-la.

Você deve usar uma conta de usuário de domínio porque ela isola o serviço do servidor de relatórios de outros aplicativos. Se você executar vários aplicativos em uma conta compartilhada, como o Serviço de Rede, aumentará o risco de um usuário mal-intencionado assumir o controle do servidor de relatórios. Uma violação de segurança em um aplicativo pode facilmente se estender a todos os aplicativos executados na mesma conta.

Se você usar uma conta de usuário de domínio, será necessário alterar a senha periodicamente, caso a organização imponha uma política de expiração de senha. Talvez também seja necessário registrar o serviço com a conta de usuário. Para obter mais informações, confira Registrar um SPN (Nome da Entidade de Serviço) para um servidor de relatório.

Evite contas de usuário local do Windows. Normalmente, as contas locais não têm permissão suficiente para acessar recursos em outros computadores. Para obter mais informações sobre como as contas locais limitam a funcionalidade do servidor de relatórios, consulte Considerações sobre o uso de contas locais.
Conta de Serviço Virtual Conta de Serviço Virtual representa o serviço Windows. É uma conta interna com menos privilégios que tem permissões de início de sessão na rede. Você deve usar essa conta se não tiver uma conta de usuário de domínio disponível ou se quiser evitar qualquer interrupção de serviço que possa ocorrer como resultado de políticas de expiração de senha.
Serviço de Rede Serviço de Rede é uma conta interna com menos privilégios que tem permissões de início de sessão de rede.

Se você selecionar Serviço de Rede, tente minimizar o número de serviços que são executados na mesma conta. Uma violação de segurança em qualquer aplicativo compromete a segurança de todos os outros aplicativos executados na mesma conta.
Serviço Local Serviço Local é uma conta interna semelhante a uma conta de usuário autenticada local do Windows. Os serviços executados como a conta Serviço Local acessam os recursos de rede como uma sessão nula sem credenciais. Essa conta não é apropriada para cenários de implantação de intranet em que o servidor de relatório deve se conectar a um banco de dados do servidor de relatório remoto ou a um controlador de domínio de rede para autenticar um usuário antes de abrir um relatório ou processar uma assinatura.
Sistema Local Sistema Local é uma conta altamente privilegiada que não é exigida para executar um servidor de relatório. Evite usar essa conta para instalações do servidor de relatório. Escolha uma conta de domínio ou um Serviço de Rede .

Considerações para contas locais

A primeira questão a ser considerada para contas locais é se o servidor de relatório exige acesso aos servidores de banco de dados remotos, aos servidores de email e aos controladores de domínio. Se você configurar o servidor de relatório para ser executado como uma conta de usuário local do Windows, um Serviço Local ou um Sistema Local, surgirão questões que deverão ser consideradas com relação à especificação das demais configurações. Na criação e entrega da assinatura, você também deve considerar o seguinte:

  • A execução do serviço em uma conta local limitará suas opções posteriormente se você configurar uma conexão com um banco de dados do servidor de relatório remoto. Especificamente, se você estiver usando um banco de dados do servidor de relatório remoto, será necessário configurar a conexão para que ela use uma conta de usuário de domínio ou um usuário do banco de dados do SQL Server que tenha permissão para entrar na instância remota do SQL Server.

  • A execução do serviço em uma conta local criará requisitos para a criação de assinaturas. O servidor de relatório armazena informações sobre o usuário que cria a assinatura. Se o usuário criar uma assinatura enquanto estiver conectado em uma conta de domínio, o serviço do Servidor de Relatório tentará se conectar a um controlador de domínio para autenticar o usuário durante o processamento da assinatura. Se o serviço for executado em uma conta local, a solicitação de autenticação falhará assim que o servidor de relatório tentar enviar a solicitação a um controlador de domínio remoto. Para solucionar temporariamente essa limitação, o usuário pode usar uma extensão personalizada de autenticação com base em formulário ou conectar todos os usuários a um servidor de relatório em uma conta de usuário local.

  • A execução do serviço em uma conta local criará novos requisitos para a entrega de assinaturas. Algumas extensões de entrega têm informações da conta de usuário na definição da assinatura. Se você enviar relatórios para endereços de email com base em contas de usuário de domínio e executar o serviço do Servidor de Relatório em uma conta local, o serviço não poderá acessar um controlador de domínio remoto para resolver a conta de email de destino.

  • Não há suporte para contas de serviço internas do Windows (Serviço Local ou Serviço de Rede) como contas de serviço do servidor de relatório em um computador que seja controlador de domínio.

Para obter ajuda para decidir sobre a melhor abordagem para sua implantação, consulte as seguintes diretrizes:

Atualizar uma senha expirada

Se o serviço do Servidor de Relatório for executado em uma conta de domínio e a senha expirar antes de ser atualizada no Gerenciador de Configurações do Servidor de Relatório, o serviço não será iniciado até que seja especificada uma nova senha.

Se a senha da conta de serviço do Mecanismo de Banco de Dados expirar, ocorrerá o erro rsReportServerDatabaseUnavailable quando você tentar se conectar ao servidor de relatório. A redefinição da senha resolve esse erro.

Solução de problemas de erros de atualização de identidade do serviço

A alteração da identidade do serviço inicia uma série de eventos que incluem o reinício do serviço, a atualização da chave de criptografia protegida por senha, a atualização das reservas de URL e a atualização das informações de conexão do banco de dados do servidor de relatório, caso você esteja usando a conta de serviço para se conectar ao banco de dados do servidor de relatório. Você pode monitorar o status desses eventos pela exibição das notificações no painel Resultados, na parte inferior da página. Se ocorrerem erros durante esse processo, você poderá tentar resolvê-los usando as seguintes técnicas:

  • Se a chave simétrica não puder ser restaurada, você poderá tentar restaurá-la manualmente usando Restaurar na página Chaves de criptografia. Se isso não funcionar, considere a exclusão do conteúdo criptografado. Você precisará recriar as informações de conexão de fonte de dados e as assinaturas, mas o restante do conteúdo ainda estará disponível. Para saber mais, confira Fazer backup e restaurar chaves de criptografia do SQL Server Reporting Services (SSRS).

  • Se o serviço não for iniciado, reinicie-o manualmente usando o aplicativo de console Serviços nas Ferramentas do Administrador.

  • Podem ocorrer erros de reserva de URL ao atualizar a conta de serviço. Cada reserva de URL inclui um descritor de segurança que inclui uma DACL (Lista de Controle de Acesso Discricionário) que concede permissão à conta de serviço para aceitar solicitações na URL. Quando você atualizar a conta, a URL deverá ser recriada a fim de atualizar a DACL com as novas informações de conta. Se a reserva de URL não puder ser recriada e você souber que a conta é válida, tente reiniciar o computador. Se o erro persistir, tente usar uma conta diferente.