Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ursprüngliche KB-Nummer: 2723587
In diesem Artikel wird beschrieben, wie Sie SQL Server Reporting Services in Microsoft SharePoint Server für die Kerberos-Authentifizierung konfigurieren.
Erstellen eines Reporting Services-Dienstkontos
Als bewährte Methode sollten Reporting Services unter einer eigenen Domänenidentität ausgeführt werden. Zum Konfigurieren der Reporting Services-Dienstanwendung muss ein Active Directory-Konto erstellt und als verwaltetes Konto in SharePoint Server registriert werden. In diesem Beispiel wird das folgende Konto erstellt und registriert.
| Name | Identität |
|---|---|
| SharePoint Server-Dienst | IIS-Anwendungspoolidentität |
| SQL Server Reporting Services | vmlab\svcRS2012 |
Hinweis
Optional können Sie ein einzelnes Domänenkonto für mehrere Dienste wiederverwenden. Diese Konfiguration wird in den folgenden Abschnitten nicht behandelt.
Erstellen eines SPN für das Dienstkonto, das den Reporting Service auf dem Anwendungsserver ausführt
Das Active Directory-Benutzer und -Computer MMC-Snap-In wird in der Regel zum Konfigurieren der Kerberos-Delegierung verwendet. Zum Konfigurieren der Delegierungseinstellungen im Snap-In muss auf das active Directory-Objekt, das konfiguriert wird, ein Dienstprinzipalname angewendet werden. Andernfalls ist die Delegierungsregisterkarte für das Objekt im Eigenschaftendialogfeld des Objekts nicht sichtbar. Obwohl Reporting Services keinen SPN erfordert, um zu funktionieren, konfigurieren wir einen für diesen Zweck. Wenn auf das Dienstkonto bereits ein SPN angewendet wurde (im Fall der dienstübergreifenden Freigabe von Konten), ist dieser Schritt nicht erforderlich.
Führen Sie in der Befehlszeile folgenden Befehl aus:
SETSPN -S SP/PPS vmlab\svcRS2012
Hinweis
Der SPN ist kein gültiger SPN. Sie wird auf das angegebene Dienstkonto angewendet, um die Delegierungsoptionen im Add-In AD-Benutzer und -Computer anzuzeigen. Es gibt andere unterstützte Methoden zum Angeben der Delegierungseinstellungen (insbesondere des msDS-AllowedToDelegateTo AD-Attributs), aber dieses Thema wird in diesem Dokument nicht behandelt.
Konfigurieren der eingeschränkten Kerberos-Delegierung aus dem Reporting Services-Dienstkonto an den SSAS-Dienst und optional für SQL Server-Dienst
Damit Reporting Services die Identität des Clients delegieren können, muss die eingeschränkte Kerberos-Delegierung konfiguriert werden. Ferner müssen Sie die eingeschränkte Delegierung mit Protokollübergang für die Umwandlung von Forderungstoken in Windows-Token über den Forderungen an den Windows-Tokendienst von Windows Identity Framework (WIF) konfigurieren.
Jeder Server, auf dem Reporting Services ausgeführt wird, muss vertrauenswürdig sein, um Anmeldeinformationen an jeden Back-End-Dienst zu delegieren, mit dem sich Reporting Services authentifizieren. Darüber hinaus muss das Reporting Services-Dienstkonto so konfiguriert sein, dass die Delegierung an dieselben Back-End-Dienste zulässig ist. Beachten Sie außerdem, dass HTTP/Portal und HTTP/Portal.vmlab.local so konfiguriert sind, dass sie delegieren, um eine SharePoint-Liste als optionale Datenquelle für Ihre Reporting Services-Berichte einzuschließen.
In unserem Beispiel werden die folgenden Delegierungspfade definiert:
| Prinzipaltyp | Prinzipalname |
|---|---|
| Benutzer | Vmlab\svcC2WTS |
| Benutzer | vmlab\svcRS2012 |
Führen Sie die folgenden Schritte aus, um die eingeschränkte Delegierung zu konfigurieren:
Öffnen Sie in Active Directory-Benutzer und -Computer die Eigenschaften des Active Directory-Objekts.
Wechseln Sie zur Registerkarte Delegierung.
Wählen Sie Benutzer bei Delegierungen angegebener Dienste vertrauen aus.
Wählen Sie anschließend Beliebiges Authentifizierungsprotokoll verwenden aus.
Klicken Sie auf die Schaltfläche Hinzufügen , um den Dienstprinzipal auszuwählen.
Wählen Sie Benutzer und Computer aus.
Wählen Sie das Dienstkonto aus, unter dem der Dienst ausgeführt wird, an den Sie delegieren möchten (SQL Server, SQL Server Analysis Services oder beides).
Hinweis
Dem ausgewählten Dienstkonto muss ein Dienstprinzipalname zugeordnet sein. In unserem Beispiel wurde der SPN für dieses Konto in einem vorherigen Szenario konfiguriert.
Klicken Sie auf OK.
Wählen Sie die Dienstprinzipalnamen aus, an die die Delegierung erfolgen soll, und klicken Sie dann auf OK.
Die ausgewählten Dienstprinzipalnamen sollten nun in der Liste Dienste, für die dieses Konto delegierte Anmeldeinformationen verwenden kann enthalten sein.
Wiederholen Sie diese Schritte für alle Delegierungspfade, die am Anfang dieses Abschnitts definiert wurden.
Starten des Reporting Services-Diensts instance auf dem Reporting Services-Server
Starten Sie vor dem Erstellen einer Reporting Services-Dienstanwendung den Reporting Services-Dienst auf den angegebenen Farmservern. Weitere Informationen zu Reporting Services Konfiguration finden Sie unter Installieren von Reporting Services 2016 im SharePoint-Modus.
Öffnen Sie die Zentraladministration.
Wählen Sie unter Dienste die Option Dienste auf server verwalten aus.
Wählen Sie im Serverauswahlfeld in der oberen rechten Ecke die Server aus, auf denen Reporting Services ausgeführt wird.
Starten Sie den SQL Server Reporting Services-Dienst.
Erstellen der Reporting Services-Dienstanwendung und des Proxys
Konfigurieren Sie als Nächstes eine neue Reporting Services-Dienstanwendung und einen Anwendungsproxy, damit Webanwendungen Reporting Services nutzen können:
Öffnen Sie die Zentraladministration.
Klicken Sie unter Anwendungsverwaltung auf Dienstanwendungen verwalten.
Wählen Sie Neu aus, und klicken Sie dann auf SQL Server Reporting Services Dienstanwendung.
Konfigurieren Sie die neue Dienstanwendung. Stellen Sie sicher, dass Sie das richtige Dienstkonto auswählen oder ein neues verwaltetes Konto erstellen, wenn Sie diesen Schritt zuvor nicht ausgeführt haben.
Sie können vor diesem Schritt oder beim Erstellen des neuen Reporting Services-Diensts ein neues Dienstkonto für einen vorhandenen Anwendungspool erstellen und registrieren, der für Reporting Services reserviert ist. Gehen Sie wie folgt vor, um das Dienstkonto einem vorhandenen Anwendungspool zuzuordnen, der für Reporting Services reserviert ist, oder um ein vorhandenes Konto zu überprüfen.
Navigieren Sie zu SharePoint-Zentraladministration. Suchen Sie im Abschnitt Sicherheit nach Verwaltete Konten konfigurieren.
Wählen Sie im Dropdownfeld den Anwendungspool aus.
Wählen Sie das Active Directory-Konto aus.
Erteilen von Berechtigungen zur Inhaltsdatenbank der Webanwendung für das Reporting Services-Dienstkonto
Ein erforderlicher Schritt beim Konfigurieren von SharePoint Server 2010, Office Web Applications ist das Zulassen des Zugriffs des Dienstkontos der Webanwendung auf die Inhaltsdatenbanken für eine bestimmte Webanwendung. In diesem Beispiel gewähren wir dem Reporting Services-Konto Mithilfe von Windows PowerShell Zugriff auf die Inhaltsdatenbank der Portalwebanwendung.
Führen Sie den folgenden Befehl an der SharePoint 2010-Verwaltungsshell aus:
$w = Get-SPWebApplication -Identity http://portal
$w.GrantAccessToProcessIdentity("vmlab\svcRS2012")