Настройка учетной записи службы сервера отчетов (диспетчер конфигурации сервера отчетов)

Область применения: SQL Server 2016 (13.x) Reporting Services и более поздних версий Сервер отчетов Power BI

Службы Reporting Services реализованы как отдельная служба, содержащая веб-службу сервера отчетов, веб-портал и приложение фоновой обработки, используемое для запланированной обработки отчетов и доставки подписок. В этой статье объясняется, как изначально настроена учетная запись службы и как изменить учетную запись или пароль с помощью средства настройки служб Reporting Services.

Начальная конфигурация

Задание учетной записи службы сервера отчетов производится во время установки. Службу можно запустить под учетной записью пользователя домена или встроенной учетной записью, например виртуальной учетной записью службы. Учетной записи по умолчанию не существует. Начальной учетной записью сервера отчетов будет та, которая была указана на странице Учетные записи службы мастера установки.

Внимание

Хотя веб-служба сервера отчетов и веб-портал являются отдельными приложениями ASP.NET, они выполняются под одной архитектурой службы в пределах одного удостоверения процесса сервера отчетов.

Примечание.

Встроенные учетные записи служб Windows (локальная служба или сетевая служба) не поддерживаются в качестве учетных записей службы сервера отчетов на компьютере, являющемся контроллером домена.

Смена учетной записи службы

Для просмотра и перенастройки сведений об учетной записи службы всегда используйте Диспетчер конфигурации служб Reporting Services. Сведения об удостоверении службы внутренне сохраняется в нескольких разных местах. При использовании средства все ссылки обновляются соответствующим образом при изменении учетной записи или пароля. Диспетчер конфигурации служб Reporting Services выполняет следующие дополнительные действия, чтобы убедиться, что сервер отчетов остается доступным:

  • Автоматически добавляет новую учетную запись к группе сервера отчетов, созданной на локальном компьютере. Эта группа указана в списках управления доступом (ACL), защищенных файлами служб Reporting Services.

  • Автоматически обновляет разрешения на вход в экземпляр SQL Server ядро СУБД, используемый для размещения базы данных сервера отчетов. Новая учетная запись будет добавлена к роли RSExecRole.

    Вход в базу данных для старой учетной записи не удаляется автоматически. Не забывайте удалять учетные записи, которые больше не используются. Дополнительные сведения см. в разделе "Администрирование базы данных сервера отчетов" (собственный режим SSRS).

    Предоставление новой учетной записи службы разрешений производится только в момент первой настройки подключения к базе данных сервера отчетов. Если вы настроили подключение к базе данных сервера отчетов для использования учетной записи пользователя домена или входа в базу данных SQL Server, обновление учетной записи службы не влияет на сведения о подключении.

  • Автоматически обновляет ключ шифрования, добавляя в него сведения о профиле новой учетной записи.

    Примечание.

    Если сервер отчетов является частью масштабного развертывания, то изменяется только обновляемый сервер отчетов. При изменении учетной записи сервера ключи шифрования для других серверов отчетов в развертывании не изменяются.

Настройка учетной записи службы сервера отчетов

  1. Запустите Диспетчер конфигурации служб Reporting Services и подключитесь к серверу отчетов.

  2. На странице «Учетная запись службы» выберите параметр, указывающий тип используемой учетной записи.

  3. Если выбрана учетная запись пользователя Windows, укажите новую учетную запись и пароль. Учетная запись не может содержать более 20 символов и не может содержать специальные символы для правил именования учетных " / \ [ ] : ; | = , + * ? < > ' записей windows.

    При развертывании сервера отчетов в сети, поддерживающей проверку подлинности Kerberos, необходимо зарегистрировать имя субъекта-службы сервера отчетов (SPN) с указанной учетной записью пользователя домена. Дополнительные сведения см. в разделе "Регистрация имени субъекта-службы" для сервера отчетов.

  4. Выберите Применить.

  5. При появлении запроса на резервное копирование симметричного ключа введите имя файла и расположение для резервного копирования симметричного ключа. Введите пароль для блокировки и разблокировки файла, а затем нажмите кнопку "ОК".

  6. Если сервер отчетов пользуется для подключения к базе данных сервера отчетов учетной записью службы, то ее имя и пароль будут обновлены в сведениях о соединении. Для этого потребуется соединение с базой данных. Если появится диалоговое окно "Подключение к базе данных SQL Server", введите учетные данные, имеющие разрешение на подключение к базе данных, и нажмите кнопку "ОК".

  7. При появлении запроса на восстановление симметричного ключа введите пароль, указанный на шаге 5, и нажмите кнопку "ОК".

  8. Чтобы проверить успешное выполнение всех задач, просмотрите сообщения о состоянии в области результатов.

Выбор учетной записи

Для получения наилучших результатов укажите учетную запись с разрешениями сетевого подключения с доступом к сетевым контроллерам домена и корпоративным серверам протокола SMTP или шлюзам. В следующей таблице перечислены учетные записи и приведены рекомендации по их использованию.

Примечание.

Общие сведения об управляемых учетных записях служб группы не поддерживаются в качестве учетной записи службы сервера отчетов.

Учетная запись Описание
Учетная запись пользователя домена При наличии учетной записи пользователя домена Windows, обладающей минимумом разрешений, необходимым для работы сервера отчетов, лучше пользоваться ей.

Следует использовать учетную запись пользователя домена, так как она изолирует службу сервера отчетов от других приложений. Если вы запускаете несколько приложений под общей учетной записью, например сетевой службой, вы повышаете риск того, что злоумышленник управляет сервером отчетов. Нарушение безопасности для любого приложения может легко распространяться на все приложения, которые выполняются под одной учетной записью.

При использовании учетной записи пользователя домена придется периодически менять пароль, если в организации действует политика истечения срока действия паролей. Может также потребоваться регистрация службы под учетной записью пользователя. Дополнительные сведения см. в разделе "Регистрация имени субъекта-службы" для сервера отчетов.

Избегайте локальных учетных записей пользователей Windows. Как правило, они не предоставляют разрешений, необходимых для доступа к ресурсам на других компьютерах. Дополнительные сведения о том, как локальные учетные записи ограничивают функциональные возможности сервера отчетов, см. в рекомендациях по использованию локальных учетных записей.
Учетная запись виртуальной службы Учетная запись виртуальной службы представляет службу Windows. Это встроенная учетная запись с минимальными привилегиями, которая имеет разрешения для входа в сеть. Эту учетную запись следует использовать, если у вас нет доступной учетной записи пользователя домена или если вы хотите избежать сбоев служб, которые могут возникнуть в результате политик истечения срока действия пароля.
Сетевая служба. Сетевая служба — это встроенная учетная запись с минимальными привилегиями, которая имеет разрешения на вход в сеть.

Выбрав учетную запись Сетевая служба, постарайтесь уменьшить число других запускаемых от нее служб. Нарушение защиты одного из приложений приведет к компрометации всех остальных приложений, запускаемых от имени той же учетной записи.
Локальная служба. Локальная служба — это встроенная учетная запись, которая похожа на локальную учетную запись пользователя Windows с проверкой подлинности. Службы, запущенные с учетной записью Локальная служба , получают доступ к сетевым ресурсам в форме неопределенного сеанса без учетных данных. Эта учетная запись не подходит для сценариев развертывания интрасети, когда сервер отчетов должен подключиться к удаленной базе данных сервера отчетов или сетевому контроллеру домена для проверки подлинности пользователя перед открытием отчета или обработкой подписки.
Локальная система Локальная система — это учетная запись с высоким уровнем привилегий, которая не требуется для запуска сервера отчетов. Избегайте использования данной учетной записи при установках сервера отчетов. Лучше вместо нее использовать учетную запись Сетевая служба .

Рекомендации по локальным учетным записям

Основное внимание для локальных учетных записей заключается в том, требуется ли серверу отчетов доступ к удаленным серверам баз данных, почтовым серверам и контроллерам домена. Если вы настраиваете сервер отчетов для запуска в качестве локальной учетной записи пользователя Windows, локальной службы или локальной системы, вы введете рекомендации, которые необходимо учитывать при настройке других параметров конфигурации. При создании и доставке подписки необходимо также учитывать следующее:

  • Запуск службы под локальной учетной записью ограничивает параметры позже, если вы настроите подключение к удаленной базе данных сервера отчетов. В частности, если вы используете удаленную базу данных сервера отчетов, необходимо настроить подключение для использования учетной записи пользователя домена или пользователя базы данных SQL Server, имеющего разрешение на вход в удаленный экземпляр SQL Server.

  • Работа службы под локальной учетной записью накладывает новые требования на создание подписок. Сервер отчетов хранит сведения о пользователе, который создал подписку. Если пользователь создает подписку во время того, как он подключен под учетной записью домена, то служба сервера отчетов будет пытаться подключиться к контроллеру домена для проверки подлинности пользователя при обработке подписки. Если служба запущена от имени локальной учетной записи, то запрос проверки подлинности окажется неуспешным при попытке сервера отчета отправить запрос на удаленный контроллер домена. Чтобы обойти это ограничение, можно использовать модуль проверки подлинности на основе пользовательских форм или подключить всех пользователей к серверу отчета под локальной учетной записью пользователя.

  • Работа службы под локальной учетной записью накладывает новые требования на доставку подписок. Некоторые модули доставки имеют сведения об учетных записях пользователя в определении подписок. Если вы отправляете отчеты на адреса электронной почты, основанные на учетных записях пользователей домена, и запускаете службу сервера отчетов под локальной учетной записью, она не может получить доступ к удаленному контроллеру домена для разрешения целевой учетной записи электронной почты.

  • Встроенные учетные записи службы Windows (локальная служба или сетевая служба) не поддерживаются как учетные записи службы сервера отчетов на компьютере, который является контроллером домена.

Дополнительные сведения о подходе, который лучше всего подходит для развертывания, см. в следующих рекомендациях.

Обновление пароля с истекшим сроком действия

Если служба сервера отчетов запущена от имени учетной записи домена и срок действия пароля истек до его обновления в диспетчере конфигураций сервера отчетов, служба не будет запускаться до тех пор, пока не будет задан новый пароль.

Если срок действия пароля учетной записи службы для ядро СУБД истекает, при попытке подключиться к серверу отчетов возникает ошибка rsReportServerDatabaseUnavailable. Эта ошибка устраняется с помощью сброса пароля.

Устранение ошибок обновления удостоверений службы

Изменение удостоверения службы инициирует ряд событий, включающих перезапуск службы, обновление ключа шифрования с защитой паролем, обновление резервирования URL-адресов и обновление сведений о подключении к базе данных сервера отчетов при использовании учетной записи службы для подключения к базе данных сервера отчетов. Состояние этих событий отражается в виде уведомлений на панели «Результаты» в нижней части страницы. Если во время этого процесса возникают ошибки, их можно устранить с помощью следующих методов:

  • Если не удалось восстановить симметричный ключ, можно предпринять попытку восстановить его вручную при помощи кнопки Восстановить на странице "Ключи шифрования". Если сделать это не удается, рассмотрите возможность удаления зашифрованного содержимого. При этом придется повторно создать подписки и сведения о соединении с источником данных, но остальная часть содержимого останется доступной. Дополнительные сведения см. в статье Резервное копирование и восстановление ключей шифрования СЛУЖБ SQL Server Reporting Services (SSRS).

  • Если служба не запустилась, запустите ее вручную при помощи оснастки "Службы" в разделе "Администрирование".

  • При обновлении учетной записи службы могут возникнуть ошибки резервирования URL-адресов. Каждое резервирование URL-адресов предусматривает создание дескриптора безопасности, который включает список разграничительного управления доступа DACL, который предоставляет учетной записи службы разрешение на прием запросов по данному URL-адресу. После обновления учетной записи URL-адрес должен быть создан повторно, чтобы обновить список DACL на основе новых сведений об учетной записи. Если резервирование URL-адресов не может быть выполнено повторно, но известно, что учетная запись является действительной, то можно попробовать перезапустить компьютер. Если после этого ошибка не исчезла, попробуйте воспользоваться другой учетной записью.