Teilen über


Configure the Report Server Service Account (SSRS Configuration Manager) (Konfigurieren des Berichtsserver-Dienstkontos (Berichtsserver-Konfigurations-Manager))

Gilt für: SQL Server 2016 (13.x) Reporting Services und höher Power BI-Berichtsserver

Reporting Services wird als Einzeldienst mit einem Berichtsserver-Webdienst, Webportal, und einer Hintergrundverarbeitungsanwendung implementiert, die für die geplante Berichtsverarbeitung und die Abonnementübermittlung verwendet wird. In diesem Artikel wird erläutert, wie das Dienstkonto zu Beginn konfiguriert wird. Außerdem wird beschrieben, wie das Konto oder das Kennwort mit dem Reporting Services-Konfigurationstool geändert wird.

Erstkonfiguration

Das Berichtsserver-Dienstkonto wird während der Ausführung von Setup definiert. Sie können den Dienst unter einem Domänenbenutzerkonto oder unter einem integrierten Konto wie einem virtuellen Dienstkonto ausführen. Da es kein Standardkonto gibt, wird das Konto, das Sie auf der Seite Dienstkonten des Installations-Assistenten angeben, als Konto für den Berichtsserverdienst verwendet.

Wichtig

Obwohl der Berichtsserver-Webdienst und Webportal separate ASP.NET -Anwendungen sind, werden sie unter einer einzelnen Dienstarchitektur innerhalb der gleichen Berichtsserver-Prozessidentität ausgeführt.

Hinweis

Integrierte Windows-Dienstkonten (Lokaler Dienst oder Netzwerkdienst) werden auf einem Domänencontrollercomputer nicht als Berichtsserver-Dienstkonten unterstützt.

Ändern des Dienstkontos

Verwenden Sie stets den Reporting Services -Konfigurations-Manager, um die Informationen für das Dienstkonto anzuzeigen und neu zu konfigurieren. Die Informationen zur Dienstidentität werden intern an mehreren Speicherorten gespeichert. Wenn Sie das Tool verwenden, werden alle Verweise entsprechend aktualisiert, wenn Sie das Konto oder das Kennwort ändern. Vom Reporting Services -Konfigurations-Manager werden die folgenden zusätzlichen Schritte ausgeführt, um sicherzustellen, dass der Berichtsserver verfügbar bleibt:

  • Das neue Konto wird automatisch der auf dem lokalen Computer erstellten Berichtsservergruppe hinzugefügt. Diese Gruppe wird in den Zugriffssteuerungslisten (Access Control Lists, ACLs) angegeben, die Reporting Services -Dateien schützen.

  • Die Anmeldeberechtigungen der SQL Server Datenbank-Engine-Instanz, die als Host für die Berichtsserver-Datenbank fungiert, werden automatisch aktualisiert. Das neue Konto wird der Rolle RSExecRole hinzugefügt.

    Die Datenbankanmeldung für das alte Konto wird nicht automatisch entfernt. Stellen Sie sicher, dass nicht mehr benötigte Konten entfernt werden. Weitere Informationen finden Sie unter Verwalten einer Berichtsserver-Datenbank (einheitlicher SSRS-Modus).

    Um einem neuen Dienstkonto Datenbankberechtigungen gewähren zu können, muss die Berichtsserver-Datenbankverbindung zuvor für das Dienstkonto konfiguriert worden sein. Wenn Sie die Berichtsserver-Datenbankverbindung für ein Domänenbenutzerkonto oder eine SQL Server -Datenbankanmeldung konfiguriert haben, wirkt sich die Aktualisierung des Dienstkontos nicht auf die Verbindungsinformationen aus.

  • Der Verschlüsselungsschlüssel wird automatisch aktualisiert, sodass er die Profilinformationen des neuen Kontos enthält.

    Hinweis

    Wenn der Berichtsserver Teil einer Bereitstellung für horizontales Skalieren ist, ist nur der Berichtsserver betroffen, den Sie aktualisieren. Auf die Verschlüsselungsschlüssel für andere Berichtsserver in der Bereitstellung hat die Änderung des Dienstkontos keine Auswirkung.

Konfigurieren des Dienstkontos für den Berichtsserver

  1. Starten Sie den Konfigurations-Manager für Reporting Services und stellen Sie eine Verbindung mit dem Berichtsserver her.

  2. Wählen Sie auf der Seite Dienstkontoseite die Option aus, die den gewünschten Kontotyp beschreibt.

  3. Wenn Sie ein Windows-Benutzerkonto ausgewählt haben, geben Sie das neue Konto und das Kennwort an. Das Konto darf maximal 20 Zeichen lang sein und darf keine Sonderzeichen " / \ [ ] : ; | = , + * ? < > ' pro Benennungsregeln für Windows-Benutzerkonten enthalten.

    Wenn Sie den Berichtsserver in einem Netzwerk bereitstellen, das die Kerberos-Authentifizierung unterstützt, müssen Sie den Berichtsserver-Dienstprinzipalnamen (Service Principal Name, SPN) mit dem Domänenbenutzerkonto registrieren, das Sie angegeben haben. Weitere Informationen finden Sie unter Registrieren eines Dienstprinzipalnamens (SPN) für einen Berichtsserver.

  4. Wählen Sie Übernehmen.

  5. Geben Sie bei der Aufforderung zum Sichern des symmetrischen Schlüssels einen Dateinamen und einen Speicherort für die Sicherung des symmetrischen Schlüssels ein. Geben Sie ein Kennwort ein, um die Datei zu sperren und zu entsperren, und wählen Sie dann OK aus.

  6. Wenn der Berichtsserver die Verbindung zur Berichtsserver-Datenbank mithilfe des Dienstkontos erstellt, werden die Verbindungsinformationen auf das neue Konto oder Kennwort aktualisiert. Zum Aktualisieren der Verbindungsinformationen ist eine Verbindung mit der Datenbank erforderlich. Wenn in SQL Server das Dialogfeld für die Datenbankverbindung angezeigt wird, geben Sie die Anmeldeinformationen ein, mit denen Sie eine Verbindung mit der Datenbank herstellen können, und wählen Sie anschließend OK aus.

  7. Geben Sie bei der Aufforderung zum Wiederherstellen des symmetrischen Schlüssels das in Schritt 5 angegebene Kennwort ein, und wählen Sie dann OK aus.

  8. Um zu überprüfen, ob alle Aufgaben erfolgreich abgeschlossen wurden, sehen Sie sich die Statusmeldungen im Ergebnisbereich an.

Wählen Sie ein Konto aus.

Geben Sie am besten ein Konto an, das über Berechtigungen für Netzwerkverbindungen verfügt und auf die Netzwerkdomänencontroller und die Simple Mail Transfer Protocol-Server (SMTP) oder -Gateways des Unternehmens zugreifen kann. In der folgenden Tabelle werden die Konten zusammengefasst und Empfehlungen für ihre Verwendung gegeben.

Hinweis

Gruppenverwaltete Dienstkonten Übersicht werden nicht als Berichtsserver-Dienstkonten unterstützt.

Konto Erklärung
Domänenbenutzerkonten Wenn Sie über ein Windows-Domänenbenutzerkonto verfügen, das mindestens die für Berichtsservervorgänge erforderlichen Berechtigungen aufweist, sollten Sie dieses verwenden.

Sie sollten ein Domänenbenutzerkonto verwenden, da es den Berichtsserverdienst von anderen Anwendungen trennt. Wenn Sie mehrere Anwendungen unter einem freigegebenen Konto wie Netzwerkdienst ausführen, steigt das Risiko, dass böswillige Benutzer die Kontrolle über den Berichtsserver erlangen. Eine Sicherheitsverletzung bei einer Anwendung kann sich leicht auf alle Anwendungen ausbreiten, die unter diesem Konto ausgeführt werden.

Wenn Sie ein Domänenbenutzerkonto verwenden, müssen Sie das Kennwort regelmäßig ändern, wenn Ihre Organisation eine Richtlinie für das Ablaufen von Kennwörtern verwendet. Möglicherweise müssen Sie auch den Dienst für das Benutzerkonto registrieren. Weitere Informationen finden Sie unter Registrieren eines Dienstprinzipalnamens (SPN) für einen Berichtsserver.

Vermeiden Sie lokale Windows-Benutzerkonten. In der Regel verfügen lokale Konten nicht über ausreichende Berechtigungen für den Zugriff auf Ressourcen auf anderen Computern. Weitere Informationen dazu, wie lokale Konten die Berichtsserverfunktionen beschränken, finden Sie unter Überlegungen zur Verwendung lokaler Konten.
Virtuelles Dienstkonto Dasvirtuelle Dienstkonto repräsentiert den Windows-Dienst. Dies ist ein integriertes Konto mit Minimalprivilegien, das über Berechtigungen für die Netzwerkanmeldung verfügt. Sie sollten dieses Konto verwenden, wenn kein Domänenbenutzerkonto verfügbar ist oder wenn Sie mögliche Dienstausfälle aufgrund von Richtlinien zum Ablauf von Kennwörtern vermeiden möchten.
Netzwerkdienst Netzwerkdienst ist ein integriertes Konto mit Minimalprivilegien, das über Berechtigungen für die Netzwerkanmeldung verfügt.

Versuchen Sie, die Anzahl der Dienste, die unter einem Konto ausgeführt werden, so gering wie möglich zu halten, wenn Sie Netzwerkdienstauswählen. Eine Sicherheitsverletzung bei einer Anwendung gefährdet die Sicherheit aller anderen Anwendungen, die unter diesem Konto ausgeführt werden.
Lokaler Dienst Lokaler Dienst ist ein integriertes Konto, das einem authentifizierten lokalen Windows-Benutzerkonto entspricht. Bei Diensten, die unter dem Konto Lokaler Dienst ausgeführt werden, erfolgt der Zugriff auf Netzwerkressourcen als NULL-Sitzung ohne Anmeldeinformationen. Dieses Konto ist nicht für Bereitstellungsszenarien im Intranet geeignet, bei denen eine Verbindung zwischen dem Berichtsserver und einer Remoteberichtsserver-Datenbank oder einem Netzwerkdomänencontroller hergestellt werden muss, um einen Benutzer vor dem Öffnen eines Berichts oder vor dem Verarbeiten eines Abonnements zu authentifizieren.
Lokales System Lokales System ist ein Konto mit weit reichenden Berechtigungen, das für die Ausführung eines Berichtsservers nicht erforderlich ist. Verwenden Sie dieses Konto nicht für Berichtsserverinstallationen. Wählen Sie stattdessen ein Domänenkonto oder einen Netzwerkdienst aus.

Überlegungen zu lokalen Konten

Die vorrangige Überlegung im Hinblick auf lokale Konten ist, ob der Berichtsserver auf Remotedatenbankserver, Mailserver und Domänencontroller zugreifen muss. Wenn Sie den Berichtsserver als lokales Windows-Benutzerkonto, lokalen Dienst oder lokales System konfigurieren, müssen bestimmte Überlegungen bei anderen Konfigurationseinstellungen berücksichtigt werden. Bei der Erstellung und Übermittlung von Abonnements müssen Sie auch Folgendes berücksichtigen:

  • Das Ausführen des Diensts unter einem lokalen Konto schränkt Ihre späteren Optionen ein, wenn Sie eine Verbindung zu einer Remoteberichtsserver-Datenbank konfigurieren. Insbesondere wenn Sie eine Remoteberichtsserver-Datenbank verwenden, müssen Sie die Verbindung für die Verwendung eines Domänenbenutzerkontos oder SQL Server-Datenbankbenutzers mit Berechtigung für die Anmeldung bei der Remoteinstanz von SQL Server konfigurieren.

  • Mit der Ausführung des Dienstes unter einem lokalen Konto sind neue Anforderungen im Hinblick auf die Erstellung von Abonnements verbunden. Der Berichtsserver speichert Informationen zum Benutzer, der das Abonnement erstellt. Wenn der Benutzer das Abonnement erstellt, während er mit einem Domänenkonto angemeldet ist, versucht der Berichtsserverdienst, eine Verbindung mit einem Domänencontroller herzustellen, um den Benutzer zu authentifizieren, wenn das Abonnement verarbeitet wird. Wenn der Dienst unter einem lokalen Konto ausgeführt wird, löst die Authentifizierungsanforderung einen Fehler aus, wenn der Berichtsserver versucht, die Anforderung an einen Remotedomänencontroller zu senden. Sie können diese Beschränkung umgehen, indem Sie eine formularbasierte Authentifizierungserweiterung verwenden oder alle Benutzer anweisen, die Verbindung mit einem Berichtsserver über ein lokales Benutzerkonto herzustellen.

  • Mit der Ausführung des Dienstes unter einem lokalen Konto sind neue Anforderungen im Hinblick auf die Übermittlung von Abonnements verbunden. Die Abonnementdefinitionen einiger Übermittlungserweiterungen enthalten Benutzerkontoinformationen. Wenn Sie Berichte an E-Mail-Adressen senden, die auf Domänenbenutzerkonten basieren, und den Berichtsserverdienst unter einem lokalen Konto ausführen, kann dieser zum Auflösen der Ziel-E-Mail-Konten nicht auf einen Remotedomänencontroller zugreifen.

  • Integrierte Windows-Dienstkonten (Lokaler Dienst oder Netzwerkdienst) werden auf einem Domänencontrollercomputer nicht als Berichtsserver-Dienstkonten unterstützt.

Die folgenden Leitlinien helfen Ihnen bei der Entscheidung, welcher Ansatz für Ihre Bereitstellung am besten geeignet ist:

Aktualisieren eines abgelaufenen Kennworts

Wenn der Berichtsserverdienst unter einem Domänenkonto ausgeführt wird und das Kennwort abläuft, bevor Sie es im Berichtsserver-Konfigurations-Manager aktualisieren können, wird der Dienst erst wieder gestartet, wenn Sie ein neues Kennwort festlegen.

Wenn das Kennwort des Dienstkontos für das Datenbank-Engine abgelaufen ist, tritt beim Versuch, eine Verbindung mit dem Berichtsserver herzustellen, der Fehler rsReportServerDatabaseUnavailable auf. Durch Zurücksetzen des Kennworts wird der Fehler behoben.

Problembehandlung bei Fehlern beim Update der Dienstidentität

Durch Ändern der Dienstidentität wird eine Reihe von Ereignissen ausgelöst, einschließlich Neustart des Diensts, Aktualisieren des kennwortgeschützten Verschlüsselungsschlüssels, Aktualisieren von URL-Reservierungen und Aktualisieren der Verbindungsinformationen für die Berichtsserver-Datenbank, wenn Sie das Dienstkonto zum Herstellen der Verbindung zur Berichtsserver-Datenbank verwenden. Sie können den Status dieser Ereignisse überwachen, indem Sie die Benachrichtigungen im Ergebnisbereich unten auf der Seite anzeigen. Wenn während dieses Prozesses Fehler auftreten, können Sie versuchen, sie mit den folgenden Techniken zu beheben:

  • Wenn der symmetrische Schlüssel nicht wiederhergestellt werden kann, können Sie versuchen, ihn manuell wiederherzustellen, indem Sie auf der Seite mit Verschlüsselungsschlüsseln auf Wiederherstellen klicken. Wenn das nicht funktioniert, erwägen Sie, den verschlüsselten Inhalt zu löschen. Sie müssen die Verbindungsinformationen und Abonnements für die Datenquelle neu erstellen, der restliche Inhalt ist jedoch weiterhin verfügbar. Weitere Informationen finden Sie unter Sichern und Wiederherstellen von Schlüsseln für SQL Server Reporting Services (SSRS).

  • Wird der Dienst nicht gestartet, starten Sie ihn manuell über die Dienstkonsolenanwendung in den Administratortools.

  • URL-Reservierungsfehler können auftreten, wenn Sie das Dienstkonto aktualisieren. Jede URL-Reservierung umfasst eine Sicherheitsbeschreibung mit einer freigegebenen Zugriffssteuerungsliste (Discretionary Access Control List, DACL), die das Dienstkonto berechtigt, Anforderungen für die URL zu akzeptieren. Wenn Sie das Konto aktualisieren, muss die URL erneut erstellt werden, um die DACL mit den neuen Kontoinformationen zu aktualisieren. Wenn die URL-Reservierung nicht neu erstellt werden kann und das Konto mit Sicherheit gültig ist, versuchen Sie, den Computer neu zu starten. Wenn der Fehler weiterhin auftritt, versuchen Sie, ein anderes Konto zu verwenden.