Configurare l'account del servizio del server di report (Gestione della configurazione del server di report)
Si applica a: SQL Server Reporting Services 2016 (13.x) e versioni successive Server di report di Power BI
Reporting Services viene implementato come singolo servizio contenente un servizio Web ReportServer, il portale Web e un'applicazione di elaborazione in background usata per l'elaborazione pianificata di report e il recapito di sottoscrizioni. Questo articolo illustra la configurazione iniziale dell'account del servizio e la modifica dell'account o della password tramite lo strumento di configurazione di Reporting Services.
Configurazione iniziale
L'account del servizio del server di report viene definito durante l'installazione. È possibile eseguire il servizio usando un account utente di domino o un account predefinito, come un account Servizio virtuale. Non esiste alcun account predefinito. L'account specificato nella pagina Account di servizio dell'Installazione guidata diventerà l'account iniziale del servizio del server di report.
Importante
Anche se il servizio Web ReportServer e il portale Web sono applicazioni ASP.NET separate, vengono eseguiti con una sola architettura del servizio all'interno della stessa identità di processo del server di report.
Nota
Gli account di servizio Windows predefiniti (Servizio locale o Servizio di rete) non sono supportati come account del servizio del server di report su un computer con funzioni di controller di dominio.
Modificare l'account di servizio
Per visualizzare e riconfigurare le informazioni sull'account del servizio, usare sempre Gestione configurazione Reporting Services. Le informazioni sull'identità del servizio sono archiviate internamente in più percorsi. Quando si utilizza lo strumento, tutti i riferimenti vengano aggiornati di conseguenza ogni volta che si modifica l'account o la password. Gestione configurazione Reporting Services esegue i seguenti passaggi supplementari per garantire la disponibilità del server di report:
Aggiunta automatica del nuovo account al gruppo di server di report creato nel computer locale. Questo gruppo è specificato negli elenchi di controllo di accesso (ACL) usati per la protezione dei file di Reporting Services.
Aggiornamento automatico delle autorizzazioni di accesso nell'istanza del motore di database di SQL Server usata per ospitare il database del server di report. Il nuovo account verrà aggiunto a RSExecRole.
L'account di accesso al database per l'account precedente non viene rimosso automaticamente. Assicurarsi di rimuovere gli account non più in uso. Per altre informazioni, vedere Amministrare un database del server di report (modalità nativa SSRS).
Al nuovo account del servizio vengono concesse autorizzazioni per il database solo se la connessione al database del server di report è stata configurata fin dall'inizio per l'uso dell'account del servizio. Se la connessione al database del server di report è stata configurata per l'uso di un account utente di dominio o di un account di accesso al database di SQL Server, l'aggiornamento dell'account del servizio non influisce sulle informazioni di connessione.
Aggiornamento automatico della chiave di crittografia per includere le informazioni sul profilo del nuovo account.
Nota
Se il server di report fa parte di una distribuzione con scalabilità orizzontale, la modifica interesserà solo il server di report che si sta aggiornando. Le chiavi di crittografia per gli altri server di report della distribuzione non sono interessate dalla modifica dell'account del servizio.
Configurare l'account del servizio del server di report
Avviare Gestione configurazione Reporting Services e connettersi al server di report.
Nella pagina Account servizio selezionare l'opzione che descrive il tipo di account che si desidera utilizzare.
Se è stato selezionato un account utente di Windows, specificare il nuovo account e la password. L'account non può contenere più di 20 caratteri e non può contenere caratteri speciali
" / \ [ ] : ; | = , + * ? < > '
per ogni regola di denominazione dell'account utente di Windows.Se il server di report viene distribuito in una rete che supporta l'autenticazione Kerberos, è necessario registrare il nome dell'entità servizio (SPN) del server di report con l'account utente di dominio specificato. Per altre informazioni, vedere Registrare un nome dell'entità servizio (SPN) per un server di report.
Selezionare Applica.
Quando viene richiesto di eseguire il backup della chiave simmetrica, immettere un nome file e una posizione per la copia di backup della chiave simmetrica. Immettere una password per bloccare e sbloccare il file e quindi selezionare OK.
Se il server di report utilizza l'account del servizio per connettersi al database del server di report, le informazioni di connessione vengono aggiornate per l'utilizzo del nuovo account o della nuova password. L'aggiornamento delle informazioni di connessione richiede la connessione al database. Se viene visualizzata la finestra di dialogo Connessione al database di SQL Server, immettere credenziali con l'autorizzazione necessaria per connettersi al database, quindi selezionare OK.
Quando viene richiesto di ripristinare la chiave simmetrica, immettere la password specificata al passaggio 5, quindi scegliere OK.
Controllare i messaggi di stato nel riquadro Risultati per verificare che tutte le attività siano state completate correttamente.
Scegliere un account
Per ottenere risultati ottimali, specificare un account che dispone delle autorizzazioni necessarie per stabilire connessioni di rete, con accesso ai controller di dominio di rete e ai server o ai gateway Simple Mail Transfer Protocol (SMTP) aziendali. Nella tabella seguente vengono forniti un riepilogo degli account e alcuni consigli per come utilizzarli.
Nota
Gli account del servizio gestiti del gruppo non sono supportati come account del servizio del server di report.
Conto | Spiegazione |
---|---|
Account utente di dominio | Se si possiede un account utente di dominio di Windows che dispone delle autorizzazioni minime necessarie per operazioni sul server di report, è consigliabile utilizzarlo. Utilizzare un account utente di dominio in quanto isola il servizio del server di report dalle altre applicazioni. L'esecuzione di più applicazioni tramite un account condiviso, ad esempio Servizio di rete, aumenta il rischio di esporre il server di report al controllo da parte di utenti malintenzionati. Una violazione della sicurezza di una delle applicazioni può estendersi facilmente a tutte le altre applicazioni eseguite con lo stesso account. Se si utilizza un account utente di dominio, è necessario modificare periodicamente la password se l'organizzazione applica criteri di scadenza delle password. Potrebbe inoltre essere necessario registrare il servizio con l'account utente. Per altre informazioni, vedere Registrare un nome dell'entità servizio (SPN) per un server di report. Evitare di utilizzare account utenti locali di Windows. Gli account locali non dispongono in genere di autorizzazioni sufficienti per accedere alle risorse in altri computer. Per altre informazioni sulle limitazioni imposte alle funzionalità del server di report, si veda Considerazioni sull'utilizzo di account locali. |
Account del servizio virtuale | L'account del servizio virtuale rappresenta il servizio di Windows. È un account predefinito con privilegi minimi che dispone di autorizzazioni di accesso alla rete. Questo account andrebbe utilizzato se non si dispone di un account utente di dominio o se si desidera evitare le possibili interruzioni del servizio provocate dall'applicazione di criteri di scadenza delle password. |
Servizio di rete | Servizio di rete è un account predefinito con privilegi minimi che dispone di autorizzazioni di accesso alla rete. Se si seleziona Servizio di rete, tentare di ridurre al minimo il numero degli altri servizi eseguiti con lo stesso account. Una violazione della sicurezza di una delle applicazioni pregiudica la sicurezza di tutte le altre applicazioni eseguite con lo stesso account. |
Servizio locale | Servizio locale è un account predefinito simile a un account utente locale di Windows autenticato. I servizi eseguiti tramite l'account Servizio locale possono accedere alle risorse di rete come sessione Null senza credenziali. Questo account non è adatto per scenari di distribuzione Intranet in cui il server di report deve connettersi a un database del server di report remoto o a un controller di dominio di rete per autenticare un utente, prima dell'apertura di un report o dell'elaborazione di una sottoscrizione. |
Sistema locale | Sistema locale è un account con privilegi elevati, non necessario per l'esecuzione di un server di report. Non utilizzare questo account per le installazioni dei server di report. Scegliere piuttosto un account di dominio o l'account Servizio di rete . |
Considerazioni sugli account locali
La considerazione principale relativa agli account locali consiste nel determinare se il server di report dovrà accedere a server di database remoti, server della posta e controller di dominio. Se si configura il server di report per l'esecuzione come account utente locale di Windows, Servizio locale o Sistema locale occorrerà tenere conto di alcune considerazioni correlate all'impostazione di altre opzioni di configurazione. Durante la creazione e il recapito delle sottoscrizioni, è necessario tener presente anche quanto segue:
Se il servizio viene eseguito utilizzando un account locale e si configura una connessione a un database del server di report remoto, il numero di opzioni disponibili in seguito risulta limitato. In particolare, se si usa un database del server di report remoto, è necessario configurare la connessione per l'utilizzo di un account utente di dominio o di un utente di database di SQL Server che disponga dell'autorizzazione necessaria per accedere all'istanza remota di SQL Server.
L'esecuzione del servizio tramite un account locale introduce anche nuovi requisiti relativi alla creazione delle sottoscrizioni. Il server di report archivia le informazioni relative agli utenti che creano le sottoscrizioni. Se un utente crea una sottoscrizione mentre è connesso con un account di dominio, il servizio del server di report tenta di connettersi a un controller di dominio per autenticare l'utente al momento dell'elaborazione della sottoscrizione. Se il servizio viene eseguito utilizzando un account locale, la richiesta di autenticazione ha esito negativo quando viene inviata a un controller di dominio remoto dal server di report. Per ovviare a questa limitazione è possibile utilizzare un'estensione personalizzata per l'autenticazione basata su form oppure fare in modo che tutti gli utenti si connettano al server di report tramite un account utente locale.
L'esecuzione del servizio tramite un account locale introduce anche nuovi requisiti relativi al recapito delle sottoscrizioni. Alcune estensioni di recapito includono informazioni sull'account utente nelle definizioni delle sottoscrizioni. Se si inviano report a indirizzi di posta elettronica basati su account utente di dominio e il servizio del server di report viene eseguito utilizzando un account locale, il servizio non sarà in grado di accedere a un controller di dominio remoto per risolvere l'account di posta elettronica di destinazione.
Gli account di servizio Windows predefiniti (Servizio locale o Servizio di rete) non sono supportati come account del servizio del server di report su un computer con funzioni di controller di dominio.
Per la scelta dell'approccio ottimale per la propria distribuzione, è possibile utilizzare le linee guida e i collegamenti seguenti:
Aggiornamento di una password scaduta
Se il servizio del server di report viene eseguito con un account di dominio e la password scade prima che sia possibile aggiornarla in Gestione configurazione del server di report, il servizio non viene avviato se prima non si specifica una nuova password.
Se la password dell'account del servizio per il motore di database scade, quando si tenterà di connettersi al server di report verrà restituito l'errore rsReportServerDatabaseUnavailable. Per risolvere l'errore è necessario reimpostare la password.
Risoluzione degli errori di aggiornamento dell'identità del servizio
La modifica dell'identità del servizio avvia una serie di eventi che includono il riavvio del servizio, l'aggiornamento della chiave di crittografia protetta da password, l'aggiornamento delle prenotazioni URL e, se si utilizza l'account del servizio per la connessione al database del server di report, l'aggiornamento delle informazioni di connessione al database del server di report. È possibile monitorare lo stato di tali eventi visualizzando le notifiche incluse nel riquadro Risultati nella parte inferiore della pagina. Se durante il processo si verificano errori, è possibile provare a risolverli utilizzando le tecniche seguenti:
Se non è possibile ripristinare la chiave simmetrica, tentare di ripristinarla manualmente usando il comando Ripristina nella pagina Chiave di crittografia. Se il problema persiste, valutare l'opportunità di eliminare il contenuto crittografato. In questo caso, sarà necessario ricreare le informazioni di connessione all'origine dati e le sottoscrizioni, ma il resto del contenuto sarà ancora disponibile. Per altre informazioni, si veda Eseguire il backup e il ripristino delle chiavi di crittografia di SQL Server Reporting Services (SSRS).
Se non è possibile avviare il servizio, riavviarlo manualmente utilizzando l'applicazione console Servizi in Strumenti di amministrazione.
Quando si aggiorna l'account del servizio, possono verificarsi errori relativi alle prenotazioni URL. Ogni prenotazione URL include un descrittore di sicurezza che include a sua volta un elenco di controllo di accesso discrezionale che concede all'account del servizio l'autorizzazione necessaria per accettare richieste nell'URL. Quando si aggiorna l'account, è necessario ricreare l'URL per aggiornare l'elenco di controllo di accesso discrezionale con le nuove informazioni sull'account. Se non è possibile ricreare la prenotazione URL e si è certi della validità dell'account, provare a riavviare il computer. Se l'errore persiste, provare a utilizzare un account diverso.