次の方法で共有


レポート サーバー サービス アカウントの構成 (レポート サーバーの構成マネージャー)

適用対象: SQL Server 2016 (13.x) Reporting Services 以降 Power BI Report Server

Reporting Services は、レポート サーバー Web サービス、 Web ポータル、およびスケジュールされたレポート処理とサブスクリプションの配信に使用されるバックグラウンド処理アプリケーションを含んだ単一のサービスとして実装されます。 この記事では、サービス アカウントを最初に構成する方法と、Reporting Services 構成ツールを使用してアカウントやパスワードを変更する方法について説明します。

初期構成

レポート サーバー サービスのアカウントは、セットアップ時に定義されます。 このサービスは、ドメイン ユーザー アカウントまたは Virtual Service Accountなどのビルトイン アカウントで実行できます。 デフォルトのアカウントはありません。インストール ウィザードの [Service Accounts] ページで指定するアカウントが、レポート サーバー サービスの初期アカウントになります。

重要

レポート サーバー Web サービスと Web ポータル は異なる ASP.NET アプリケーションですが、同一のレポート サーバー プロセス ID の単一のサービス アーキテクチャで実行されます。

Note

ドメイン コントローラーになっているコンピューターでは、ビルトイン Windows サービス アカウント (Local Service または Network Service) をレポート サーバーのサービス アカウントとして使用することはできません。

サービス アカウントの変更

サービス アカウント情報の表示と再構成には、常に Reporting Services 構成マネージャーを使用します。 サービス ID 情報は、内部の複数の場所に保存されています。 このツールを使用するとき、アカウントまたはパスワードを変更するたびに、すべての参照がその変更に対応して更新されます。 Reporting Services Configuration Manager は、次に示す追加手順を実行することで、レポート サーバーを利用可能な状態に維持します。

  • ローカル コンピューター上に作成されたレポート サーバー グループに、新しいアカウントを自動的に追加します。 このグループは、 Reporting Services ファイルをセキュリティで保護するアクセス制御リスト (ACL) 内で指定されます。

  • レポート サーバー データベースをホストするために使用される SQL Server データベース エンジン インスタンスのログイン権限を自動的に更新します。 新しいアカウントは RSExecRoleに追加されます。

    古いアカウントのデータベース ログインは自動的に削除されません。 使用されなくなったするアカウントは削除するようにしてください。 詳細については、「レポート サーバー データベースの管理 (SSRS ネイティブ モード)」を参照してください。

    新しいサービス アカウントにデータベース権限が与えられるのは、そのサービス アカウントを最初に使用するようにレポート サーバー データベース接続を構成した場合に限られます。 レポート サーバー データベース接続がドメイン ユーザー アカウントまたは SQL Server データベース ログインを使用するように構成した場合は、サービス アカウントを更新しても接続情報には影響しません。

  • 暗号化キーを自動的に更新し、新しいアカウントのプロファイル情報を取り込みます。

    Note

    レポート サーバーがスケールアウト配置の一部である場合、更新するレポート サーバーのみが影響を受けます。 配置内の他のレポート サーバーの暗号化キーは、サービス アカウントを変更しても影響を受けません。

レポート サーバー サービス アカウントを構成する

  1. Reporting Services 構成マネージャーを起動して、レポート サーバーに接続します。

  2. [サービス アカウント] ページで、使用するアカウントの種類を示すオプションを選択します。

  3. Windows ユーザー アカウントを選択した場合は、新しいアカウントとパスワードを指定します。 Windows ユーザー アカウントの名前付けルールに基づき、アカウントは 20 文字を超えることはできず、特殊文字 " / \ [ ] : ; | = , + * ? < > ' を含めることはできません。

    レポート サーバーを Kerberos 認証をサポートするネットワークにデプロイする場合、指定したドメイン ユーザー アカウントでレポート サーバーのサービス プリンシパル名 (SPN) を登録する必要があります。 詳細については、「レポート サーバーのサービス プリンシパル名 (SPN) の登録」を参照してください。

  4. 適用を選択します。

  5. 対称キーをバックアップするかどうかを確認するメッセージが表示されたら、対称キーのバックアップ用のファイル名と場所を入力します。 ファイルをロックおよびロック解除するためのパスワードを入力し、[OK] を選択 します。

  6. レポート サーバーがサービス アカウントを使用してレポート サーバー データベースに接続する場合は、新しいアカウントまたはパスワードを使用するように接続情報が更新されます。 接続情報を更新するには、データベースに接続する必要があります。 SQL Server で [データベース接続] ダイアログ ボックスが表示されたら、データベースに接続する権限を持つ資格情報を入力し、 [OK] をクリックします。

  7. 対称キーを復元するよう求められたら、手順 5. で指定したパスワードを入力し、[OK] を選択します。

  8. すべてのタスクが正常に完了したことを確認するには、[結果] ペインのステータス メッセージを確認します。

アカウントの選択

最良の結果を得るには、ネットワーク接続権限があり、ネットワーク ドメイン コントローラーおよび会社の Simple Mail Transfer Protocol(SMTP) サーバーまたはゲートウェイにアクセスできるアカウントを指定します。 次の表に、アカウントの概要およびアカウントの使用方法に関する推奨事項を示します。

Note

グループ マネージド サービス アカウントの概要は、レポート サーバー サービス アカウントとしてサポートされていません。

Account 説明
ドメイン ユーザー アカウント レポート サーバーの操作に必要な最小限の権限を持つ Windows ドメイン ユーザー アカウントがある場合は、それを使用してください。

レポート サーバー サービスが他のアプリケーションから切り離されるため、ドメイン ユーザー アカウントを使用してください。 ネットワーク サービスなどの共有アカウントで複数のアプリケーションを実行すると、悪意のあるユーザーにレポート サーバーを制御されるリスクが増加します。 あるアプリケーションに対するセキュリティ侵害により、同じアカウントで実行されるいずれのアプリケーションに簡単に延長できます。

パスワードの有効期限ポリシーを実施する組織でドメイン ユーザー アカウントを使用する場合は、パスワードを定期的に変更する必要があります。 また、場合によってはサービスをユーザー アカウントに登録する必要があります。 詳細については、「レポート サーバーのサービス プリンシパル名 (SPN) の登録」を参照してください。

ローカル Windows ユーザー アカウントを避けてください。 一般に、ローカル アカウントには、他のコンピューター上のリソースにアクセスするための十分な権限が与えられていません。 ローカル アカウントがレポート サーバーの機能をどのように制限するかについては、「ローカル アカウントの使用に関する考慮事項」を参照してください。
仮想サービス アカウント 仮想サービス アカウントは Windows サービスを表します。 ネットワークへのサインイン アクセス許可を持つ最小特権のビルトイン アカウントです。 使用できるドメイン ユーザー アカウントがない場合や、パスワード有効期限ポリシーが原因でサービスが中断されないようにする場合は、このアカウントを使用してください。
Network Service ネットワーク サービス は、ネットワークへのログイン アクセス許可を持つ最小特権のビルトイン アカウントです。

[ネットワーク サービス] を選択する場合は、同じアカウントで実行される他のサービスの数を最小限に抑えてください。 あるアプリケーションに対するセキュリティ侵害が、同じアカウントで実行される他のすべてのアプリケーションのセキュリティを損なうことになります。
Local Service ローカル サービス は、認証済みのローカル Windows ユーザー アカウントに似たビルトイン アカウントです。 ローカル サービス アカウントとして実行されるサービスは、資格情報を使用せずに NULL セッションとしてネットワーク リソースにアクセスします。 このアカウントは、レポート サーバーがレポートを開いたりサブスクリプションを処理したりする前に、リモート レポート サーバー データベースまたはネットワーク ドメイン コントローラーに接続してユーザーを認証する必要があるイントラネット展開シナリオには適していません。
Local System ローカル システム は、レポート サーバーの実行には必要のない高い特権のアカウントです。 レポート サーバーのインストールにこのアカウントを使用することは避けてください。 代わりに、ドメイン アカウントまたは ネットワーク サービス を使用してください。

ローカル アカウントに関する考慮事項

ローカル アカウントの場合の主な注意点は、レポート サーバーがリモートのデータベース サーバー、メール サーバー、およびドメイン コントローラーにアクセスする必要があるかどうかということです。 レポート サーバーをローカル Windows ユーザー アカウント、ローカル サービス、またはローカル システムとして実行されるように構成する場合は、他の構成の設定方法に関して次の点を考慮する必要があります。 サブスクリプションの作成と配信では、次の点も考慮する必要があります。

  • ローカル アカウントでサービスを実行すると、後でリモートのレポート サーバー データベースへの接続を構成する場合に選択肢が限られます。 具体的には、リモートのレポート サーバー データベースを使用している場合、リモートの SQL Server インスタンスにサインインする権限のあるドメイン ユーザー アカウントまたは SQL Server データベース ユーザーを使用するように接続を構成する必要があります。

  • ローカル アカウントでサービスを実行すると、サブスクリプションの作成に関して新しい要件が発生します。 レポート サーバーでは、サブスクリプションを作成するユーザーに関する情報が保存されます。 ユーザーがドメイン アカウントでログオン中にサブスクリプションを作成すると、サブスクリプションの処理時に、レポート サーバー サービスがドメイン コントローラーに接続してユーザーを認証しようとします。 サービスがローカル アカウントで実行されていると、レポート サーバーからリモート ドメイン コントローラーに認証の要求が送信される際にその要求が失敗します。 この制限に対処するには、カスタムのフォームベースの認証拡張機能を使用するか、レポート サーバーへのすべてのユーザー接続をローカル ユーザー アカウントで行うようにします。

  • ローカル アカウントでサービスを実行すると、サブスクリプションの配信に関して新しい要件が発生します。 一部の配信拡張機能では、ユーザーのアカウント情報がサブスクリプション定義内に保持されます。 ドメイン ユーザー アカウントに基づく電子メール アドレスにレポートを送信し、レポート サーバー サービスをローカル アカウントで実行している場合、リモート ドメイン コントローラーにアクセスして対象の電子メール アカウントを解決することはできません。

  • ドメイン コントローラーになっているコンピューターでは、ビルトイン Windows サービス アカウント (Local Service または Network Service) をレポート サーバーのサービス アカウントとして使用することはできません。

展開に最適なアプローチを決定する際には、次のガイドラインを参照してください。

期限切れのパスワードの更新

レポート サーバー サービスがドメイン アカウントで実行されている場合に、レポート サーバーの構成マネージャーでパスワードを更新する前に有効期限が切れると、新しいパスワードを指定するまでこのサービスは開始されません。

データベース エンジン のサービス アカウントのパスワードの有効期限が切れると、レポート サーバーへの接続時に rsReportServerDatabaseUnavailable エラーが発生します。 パスワードを再設定すると、このエラーは解決されます。

サービス ID 更新エラーのトラブルシューティング

サービス ID を変更すると、一連のイベントが開始されます。サービスが再起動され、パスワードで保護された暗号化キーが更新され、URL 予約が更新されます。また、サービス アカウントを使用してレポート サーバー データベースに接続している場合は、レポート サーバー データベースの接続情報が更新されます。 これらのイベントの状態を監視するには、ページの下部にある [結果] パネルで通知を確認します。 この処理中にエラーが発生した場合は、解決方法として次の方法を試してください。

  • 対称キーを復元できない場合は、[暗号化キー] ページの [復元] を使用して、手動で復元を試行できます。 それでも復元できない場合は、暗号化されたコンテンツを削除することを検討してください。 データ ソース接続情報およびサブスクリプションは再作成する必要がありますが、残りのコンテンツはそのまま使用できます。 詳細については、「Back up and restore SQL Server Reporting Services (SSRS) encryption keys」を参照してください。

  • サービスが開始されない場合は、[管理ツール] の Services コンソール アプリケーションを使用して、手動で再起動します。

  • URL 予約エラーは、サービス アカウントを更新するときに発生する可能性があります。 各 URL 予約には、URL に対する要求を受け入れる権限をサービス アカウントに許可する任意のアクセス制御リスト (DACL) を含むセキュリティ記述子が含まれています。 アカウントの更新時に、URL を再作成して新しいアカウント情報で DACL を更新する必要があります。 URL 予約を再作成できない場合、アカウントが有効であるとわかっているときは、コンピューターを再起動してください。 エラーが引き続き発生する場合は、別のアカウントを使用してください。