Mengonfigurasi Akun Layanan Server Laporan (Manajer Konfigurasi Server Laporan)
Berlaku untuk:
SQL Server 2016 (13.x) Reporting Services dan Server Laporan Power BI yang lebih baru
Reporting Services diimplementasikan sebagai layanan tunggal yang berisi layanan Web Server Laporan, portal web, dan aplikasi pemrosesan latar belakang yang digunakan untuk pemrosesan laporan terjadwal dan pengiriman langganan. Topik ini menjelaskan bagaimana akun layanan awalnya dikonfigurasi dan cara mengubah akun atau kata sandi menggunakan alat Konfigurasi Reporting Services.
Konfigurasi awal
Akun layanan Server Laporan ditentukan selama Penyiapan. Anda dapat menjalankan layanan di bawah akun pengguna domain, atau akun bawaan seperti Akun Layanan Virtual. Tidak ada akun default; akun apa pun yang Anda tentukan di halaman Akun Layanan Wizard Penginstalan menjadi akun awal layanan Server Laporan.
Penting
Meskipun layanan Web Server Laporan dan portal web terpisah ASP.NET aplikasi, mereka berjalan di bawah arsitektur layanan tunggal dalam identitas proses Server Laporan yang sama.
Catatan
Akun layanan Windows bawaan (Layanan Lokal atau Layanan Jaringan) tidak didukung sebagai akun layanan server laporan di komputer yang merupakan pengendali domain.
Mengubah Akun Layanan
Untuk melihat dan mengonfigurasi ulang informasi akun layanan, selalu gunakan Reporting Services Configuration Manager. Informasi identitas layanan disimpan secara internal di beberapa lokasi. Menggunakan alat ini memastikan bahwa semua referensi diperbarui sesuai setiap kali Anda mengubah akun atau kata sandi. Manajer Konfigurasi Reporting Services melakukan langkah-langkah tambahan berikut untuk memastikan server laporan tetap tersedia:
Secara otomatis menambahkan akun baru ke grup server laporan yang dibuat di komputer lokal. Grup ini ditentukan dalam daftar kontrol akses (ACL) yang mengamankan file Reporting Services.
Memperbarui izin masuk secara otomatis pada instans Mesin Database SQL Server yang digunakan untuk menghosting database server laporan. Akun baru ditambahkan ke RSExecRole.
Log masuk database untuk akun lama tidak dihapus secara otomatis. Pastikan untuk menghapus akun yang tidak lagi digunakan. Untuk informasi selengkapnya, lihat Mengelola Database Server Laporan (Mode Asli SSRS).
Memberikan izin database ke akun layanan baru hanya terjadi jika Anda mengonfigurasi koneksi database server laporan untuk menggunakan akun layanan di tempat pertama. Jika Anda mengonfigurasi koneksi database server laporan untuk menggunakan akun pengguna domain atau login database SQL Server, informasi koneksi tidak terpengaruh oleh pembaruan akun layanan.
Memperbarui kunci enkripsi secara otomatis untuk menyertakan informasi profil akun baru.
Catatan
Jika server laporan adalah bagian dari penyebaran peluasan skala, hanya server laporan yang Anda perbarui yang terpengaruh. Kunci enkripsi untuk server laporan lain dalam penyebaran tidak terpengaruh oleh perubahan akun layanan.
Untuk mengonfigurasi akun layanan Server Laporan
Mulai manajer Konfigurasi Reporting Services dan sambungkan ke server laporan.
Pada halaman Akun Layanan, pilih opsi yang menjelaskan jenis akun yang ingin Anda gunakan.
Jika Anda memilih akun pengguna Windows, tentukan akun dan kata sandi baru. Akun tidak boleh lebih dari 20 karakter dan tidak boleh berisi karakter khusus " / \ [ ] : ; | = , + * ? <> ' per aturan penamaan akun pengguna Windows.
Jika server laporan disebarkan dalam jaringan yang mendukung autentikasi Kerberos, Anda harus mendaftarkan Nama Prinsipal Layanan (SPN) server laporan dengan akun pengguna domain yang Anda tentukan. Untuk informasi selengkapnya, lihat Mendaftarkan Nama Perwakilan Layanan (SPN) untuk Server Laporan.
Klik Terapkan.
Ketika diminta untuk mencadangkan kunci konten, ketik nama file dan lokasi untuk cadangan kunci konten, ketik kata sandi untuk mengunci dan membuka kunci file, lalu klik OK.
Jika server laporan menggunakan akun layanan untuk menyambungkan ke database server laporan, informasi koneksi diperbarui untuk menggunakan akun atau kata sandi baru. Memperbarui informasi koneksi mengharuskan Anda menyambungkan ke database. Jika kotak dialog Koneksi ion Database SQL Server muncul, masukkan kredensial yang memiliki izin untuk menyambungkan ke database, lalu klik OK.
Ketika diminta untuk memulihkan kunci konten, ketik kata sandi yang Anda tentukan di langkah 5, lalu klik OK.
Tinjau pesan status di panel Hasil untuk memverifikasi semua tugas berhasil diselesaikan.
Memilih Akun
Untuk hasil terbaik, tentukan akun yang memiliki izin koneksi jaringan, dengan akses ke pengontrol domain jaringan dan server atau gateway SMTP perusahaan. Tabel berikut ini meringkas akun dan memberikan rekomendasi untuk menggunakannya.
Catatan
Akun Layanan Terkelola Grup (gMSA) tidak didukung sebagai akun layanan server laporan.
| Akun | Penjelasan |
|---|---|
| Akun pengguna domain | Jika Anda memiliki akun pengguna domain Windows yang memiliki izin minimum yang diperlukan untuk operasi server laporan, Anda harus menggunakannya. Akun pengguna domain direkomendasikan karena mengisolasi layanan Server Laporan dari aplikasi lain. Menjalankan beberapa aplikasi di bawah akun bersama, seperti Layanan Jaringan, meningkatkan risiko pengguna berbahaya yang mengendalikan server laporan karena pelanggaran keamanan untuk satu aplikasi dapat dengan mudah meluas ke semua aplikasi yang berjalan di bawah akun yang sama. Jika Anda menggunakan akun pengguna domain, Anda harus mengubah kata sandi secara berkala jika organisasi Anda menerapkan kebijakan kedaluwarsa kata sandi. Anda mungkin juga perlu mendaftarkan layanan dengan akun pengguna. Untuk informasi selengkapnya, lihat Mendaftarkan Nama Perwakilan Layanan (SPN) untuk Server Laporan. Hindari menggunakan akun pengguna Windows lokal. Akun lokal biasanya tidak memiliki izin yang memadai untuk mengakses sumber daya di komputer lain. Untuk informasi selengkapnya tentang cara menggunakan fungsionalitas server laporan batas akun lokal, lihat Pertimbangan untuk Menggunakan Akun Lokal dalam topik ini. |
| Akun Layanan Virtual | Akun Layanan Virtual mewakili layanan Windows. Ini adalah akun hak istimewa terkecil bawaan yang memiliki izin masuk jaringan. Akun ini disarankan jika Anda tidak memiliki akun pengguna domain yang tersedia atau jika Anda ingin menghindari gangguan layanan yang mungkin terjadi sebagai akibat dari kebijakan kedaluwarsa kata sandi. |
| Layanan Jaringan | Layanan Jaringan adalah akun hak istimewa terkecil bawaan yang memiliki izin masuk jaringan. Jika Anda memilih Layanan Jaringan, cobalah untuk meminimalkan jumlah layanan lain yang berjalan di bawah akun yang sama. Pelanggaran keamanan untuk satu aplikasi apa pun mengorbankan keamanan semua aplikasi lain yang berjalan di bawah akun yang sama. |
| Layanan Lokal | Layanan Lokal adalah akun bawaan yang seperti akun pengguna Windows lokal yang diautentikasi. Layanan yang berjalan sebagai akun Layanan Lokal mengakses sumber daya jaringan sebagai sesi null tanpa kredensial. Akun ini tidak sesuai untuk skenario penyebaran intranet di mana server laporan harus tersambung ke database server laporan jarak jauh atau pengontrol domain jaringan untuk mengautentikasi pengguna sebelum membuka laporan atau memproses langganan. |
| Sistem Lokal | Sistem Lokal adalah akun yang sangat istimewa yang tidak diperlukan untuk menjalankan server laporan. Hindari akun ini untuk penginstalan server laporan. Pilih akun domain atau Layanan Jaringan sebagai gantinya. |
Pertimbangan untuk Menggunakan Akun Lokal
Pertimbangan utama untuk menggunakan akun lokal adalah apakah server laporan memerlukan akses ke server database jarak jauh, server email, dan pengontrol domain. Jika Anda mengonfigurasi server laporan untuk dijalankan sebagai akun pengguna Windows lokal, Layanan Lokal, atau Sistem Lokal, Anda memperkenalkan pertimbangan yang harus diperhitungkan dalam cara Anda mengatur pengaturan konfigurasi lain, dan pada pembuatan dan pengiriman langganan:
Menjalankan layanan di bawah akun lokal memang membatasi opsi Anda nanti jika Anda mengonfigurasi koneksi ke database server laporan jarak jauh. Secara khusus, jika Anda menggunakan database server laporan jarak jauh, Anda harus mengonfigurasi koneksi untuk menggunakan akun pengguna domain atau pengguna database SQL Server yang memiliki izin untuk masuk ke instans SQL Server jarak jauh.
Menjalankan layanan di bawah akun lokal memperkenalkan persyaratan baru tentang pembuatan langganan. Server laporan menyimpan informasi tentang pengguna yang membuat langganan. Jika pengguna membuat langganan saat masuk di bawah akun domain, layanan Server Laporan mencoba menyambungkan ke pengontrol domain untuk mengautentikasi pengguna saat langganan diproses. Jika layanan berjalan di bawah akun lokal, permintaan autentikasi gagal saat server laporan mencoba mengirim permintaan ke pengendali domain jarak jauh. Untuk mengatasi batasan ini, Anda dapat menggunakan ekstensi autentikasi berbasis formulir kustom atau membuat semua pengguna tersambung ke server laporan di bawah akun pengguna lokal.
Menjalankan layanan di bawah akun lokal memperkenalkan persyaratan baru untuk pengiriman langganan. Beberapa ekstensi pengiriman memiliki informasi akun pengguna dalam definisi langganan. Jika Anda mengirim laporan ke alamat email yang didasarkan pada akun pengguna domain dan Anda menjalankan layanan Server Laporan di bawah akun lokal, itu tidak dapat mengakses pengontrol domain jarak jauh untuk menyelesaikan akun email target.
Akun layanan Windows bawaan (Layanan Lokal atau Layanan Jaringan) tidak didukung sebagai akun layanan server laporan di komputer yang merupakan pengendali domain.
Panduan dan tautan berikut di bagian ini dapat membantu Anda memutuskan pendekatan yang terbaik untuk penyebaran Anda.
Mengonfigurasi Akun dan Izin Layanan Windows.
Panduan Perencanaan Keamanan Akun Layanan dan Layanan.
Memperbarui Kata Sandi Kedaluwarsa
Jika layanan Server Laporan berjalan di bawah akun domain dan kata sandi kedaluwarsa sebelum Anda dapat memperbaruinya di Manajer Konfigurasi Server Laporan, layanan tidak dimulai sampai Anda menentukan kata sandi baru.
Jika kata sandi akun layanan untuk Mesin Database kedaluwarsa, kesalahan rsReportServerDatabaseUnavailable terjadi saat Anda mencoba menyambungkan ke server laporan. Mereset kata sandi akan mengatasi kesalahan ini.
Pemecahan Masalah Kesalahan Pembaruan Identitas Layanan
Mengubah identitas layanan memulai serangkaian peristiwa yang mencakup memulai ulang layanan, memperbarui kunci enkripsi yang dilindungi kata sandi, memperbarui reservasi URL, dan memperbarui informasi koneksi database server laporan jika Anda menggunakan akun layanan untuk menyambungkan ke database server laporan. Anda dapat memantau status peristiwa ini dengan melihat pemberitahuan di panel Hasil di bagian bawah halaman. Jika terjadi kesalahan selama proses ini, Anda dapat mencoba mengatasinya menggunakan teknik berikut:
Jika kunci konten tidak dapat dipulihkan, Anda dapat mencoba memulihkannya secara manual dengan menggunakan Pulihkan di halaman Kunci Enkripsi. Jika tidak berhasil, pertimbangkan untuk menghapus konten terenkripsi. Anda harus membuat ulang informasi koneksi sumber data dan langganan, tetapi sisa konten Anda masih tersedia. Untuk informasi selengkapnya, lihat Mencadangkan dan Memulihkan Kunci Enkripsi Layanan Pelaporan.
Jika layanan tidak dimulai, mulai ulang secara manual dengan menggunakan aplikasi konsol Layanan di Alat Administrator.
Kesalahan reservasi URL dapat terjadi saat Anda memperbarui akun layanan. Setiap reservasi URL menyertakan pendeskripsi keamanan yang menyertakan Daftar Kontrol Akses Diskresi (DACL) yang memberikan izin ke akun layanan untuk menerima permintaan pada URL. Saat Anda memperbarui akun, URL harus dibuat ulang untuk memperbarui DACL dengan informasi akun baru. Jika reservasi URL tidak dapat dibuat ulang, dan Anda tahu akun tersebut valid, coba hidupkan ulang komputer. Jika kesalahan berlanjut, coba gunakan akun lain.
Langkah berikutnya
Mengonfigurasi URL Server Laporan (Manajer Konfigurasi Server Laporan)Manajer Konfigurasi Server Laporan (Mode Asli)
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk