How to: Configure Windows Authentication in Reporting Services
Domyślnie Reporting Services akceptuje żądania, które określają uwierzytelnianie negocjowane lub NTLM. Jeśli instalacja zawiera klient aplikacji i przeglądarek używających tych dostawców zabezpieczeń można używać wartości domyślnej, bez dodatkowych czynności konfiguracyjnych.Jeśli chcesz użyć dostawca różnych zabezpieczeń dla systemu Windows zintegrowanych zabezpieczeń (na przykład, aby bezpośrednio za pomocą protokołu Kerberos) lub jeśli zmodyfikowano wartości domyślne i chcesz przywrócić oryginalne ustawienia, informacje w tym temacie służy do określania ustawień uwierzytelnianie serwer raportów.
Do korzystania z systemu Windows zintegrowane zabezpieczenia, każdy użytkownik, który wymaga dostępu do serwer raportów musi mieć prawidłowy Windows lokalny lub domena użytkownika konta lub należeć do konta grupy lokalnej lub w domenie systemu Windows.Można dołączyć konta z innych domen, tak długo, jak domeny te są zaufane.Konta musi mieć dostęp do komputera serwer raportów i muszą później być przypisani do ról w celu uzyskania dostępu do operacji serwera określonego raportu.
Musi być również spełnione następujące dodatkowe wymagania:
Pliki RSeportServer.config muszą mieć AuthenticationType Ustaw wartość RSWindowsNegotiate, RSWindowsKerberos, lub RSWindowsNTLM. Domyślnie zawiera plik RSReportServer.config RSWindowsNegotiate ustawienia, jeśli serwer raportów konto usługi jest Usługa sieciowa lub LocalSystem; w przeciwnym razie RSWindowsNTLM ustawienie jest używane. Można dodać RSWindowsKerberos Jeśli aplikacje, które korzystają z uwierzytelnianie Kerberos.
Important Note: Za pomocą RSWindowsNegotiate Spowoduje to błąd uwierzytelnianie Kerberos Jeśli skonfigurowano usługa serwer raportów do uruchamiania przy użyciu konta użytkownika domena, a nie zarejestrował główna nazwa usługa (główna nazwa usługi) dla konta. Aby uzyskać więcej informacji zobacz Rozwiązywanie Kerberos uwierzytelnianie błędy podczas podłączania do serwer raportów w tym temacie.
ASP.NET musi być skonfigurowany dla uwierzytelnianie systemu Windows.Domyślnie pliki Web.config dla usługa sieci Web Serwer raportów i Menedżera raportów zawiera <tryb uwierzytelnianie = "Windows"> ustawienie. Wprowadzone zmiany <tryb uwierzytelniania = "Formularze">, uwierzytelnianie systemu Windows w przypadku Reporting Services nie powiedzie się.
Pliki Web.config dla usługa sieci Web programu serwer raportów i muszą mieć Menedżer raportów <podszycia się pod tożsamość = "true" />.
Aplikacja klient lub przeglądarka musi obsługiwać zabezpieczenia zintegrowane systemu Windows.
Aby zmienić ustawienia uwierzytelnianie serwer raportów, dokonaj edycji elementów XML i wartości w pliku RSReportServer.config.Można skopiować i wkleić w przykładach w tym temacie, można zaimplementować określonych kombinacji.
Domyślne ustawienia działają najlepiej, jeśli wszystkie komputery klienckie i serwery są w tej samej domena lub zaufanej domena, a serwer raportów jest rozmieszczana dla dostępu do sieci intranet za zaporą firmową.Domeny zaufanej i pojedyncze są niezbędne do przekazywania poświadczenia systemu Windows.Poświadczenia można przekazać więcej niż jedną czas po włączeniu protokół Kerberos wersja 5 serwerów.W przeciwnym razie poświadczenia mogą być przekazywane tylko jeden raz, zanim wygasną.Aby uzyskać więcej informacji na temat konfigurowania poświadczenia dla wielu połączeń komputera zobacz Specifying Credential and Connection Information for Report Data Sources.
Poniższe instrukcje są przeznaczone dla serwer raportów do trybu macierzystego.Jeśli serwer raportów jest wdrażana w trybie zintegrowanym programu SharePoint, należy użyć domyślnych ustawień uwierzytelnianie, które określa zintegrowane zabezpieczenia systemu Windows.serwer raportów używa wewnętrznych funkcji w domyślnym rozszerzeniem uwierzytelnianie systemu Windows do obsługi serwerów raportu w trybie zintegrowanym programu SharePoint.
Aby skonfigurować serwer raportów do korzystania z systemu Windows zintegrowane zabezpieczenia
Otwórz RSReportServer.config w edytorze tekstów.
Znajdź <Authentication>.
Kopiowanie jednego z następujących struktur XML, która najlepiej odpowiada Twoim potrzebom.Można określić RSWindowsNegotiate, RSWindowsNTLM, a RSWindowsKerberos w dowolnej kolejności. Należy włączyć uwierzytelnianie utrwalania, jeśli do uwierzytelnienia połączenia, a nie poszczególnych poszczególnych żądań.W obszarze ważność uwierzytelnienia wszystkie żądania, które wymagają uwierzytelnianie będą dozwolone w czasie trwania połączenia.
Pierwszy struktura języka XML jest to konfiguracja domyślna, gdy serwer raportów konto usługi jest Usługa sieciowa i system lokalny:
<Authentication> <AuthenticationTypes> <RSWindowsNegotiate /> </AuthenticationTypes> <EnableAuthPersistence>true</EnableAuthPersistence> </Authentication>
Drugi struktura języka XML jest to konfiguracja domyślna, gdy serwer raportów konto usługi nie jest Usługa sieciowa i system lokalny:
<Authentication> <AuthenticationTypes> <RSWindowsNTLM /> </AuthenticationTypes> <EnableAuthPersistence>true</EnableAuthPersistence>
</ uwierzytelnianie>
Trzeci struktury XML określa wszystkie pakiety zabezpieczeń, które są używane w przypadku zintegrowanych zabezpieczeń systemu Windows:
<AuthenticationTypes> <RSWindowsNegotiate /> <RSWindowsKerberos /> <RSWindowsNTLM /> </AuthenticationTypes>
Czwarty struktury XML określa NTLM tylko dla wdrożeń, które nie obsługują protokołu Kerberos lub obejścia Kerberos uwierzytelnianie błędów:
<AuthenticationTypes> <RSWindowsNTLM /> </AuthenticationTypes>
Wklej go w istniejących wpisów dla <Authentication>.
Należy zauważyć, że nie można używać Custom z RSWindows typy.
Zapisz plik.
Jeśli skonfigurowano wdrożenie skalowalne w poziomie, powtórz te kroki dla innych serwerów raportu wdrażanie.
Uruchom ponownie serwer raportów, aby wyczyścić wszystkie sesje, które są aktualnie otwarte.
Rozwiązywanie błędów uwierzytelnianie protokołu Kerberos podczas podłączania do serwer raportów
Na serwerze raportu, który jest skonfigurowany dla uwierzytelnianie negocjowane lub Kerberos połączenie klient serwer raportów powiedzie się, jeśli błąd uwierzytelniania Kerberos.Błędy uwierzytelnienia Kerberos wiadomo, że występuje, gdy:
usługa serwer raportów działa jako konto użytkownika domena systemu Windows, a nie zarejestrowała głównej nazwy usługa (główna nazwa usługi) dla konta.
Skonfigurowano serwer raportów RSWindowsNegotiate ustawienie.
Przeglądarka wybiera Kerberos za pośrednictwem NTLM nagłówka uwierzytelnianie w żądaniu, wysyła do serwer raportów.
Włączenie rejestrowania protokołu Kerberos można wykryć błąd.Symptom innego błędu, to zostanie wyświetlony monit o podanie poświadczenia wiele razy, a następnie zapoznaj się z pustego okna przeglądarce.
Można potwierdzić, że są wystąpią na błąd uwierzytelnianie protokołu Kerberos przez usunięcie < RSWindowsNegotiate /> plik konfiguracja i ponawiania połączenia.
Po potwierdzeniu problem rozwiązać go w następujący sposób:
Zarejestruj główna nazwa usługi usługa Serwer raport przy użyciu konta użytkownika domena.Aby uzyskać więcej informacji zobacz How to: Register a Service Principal Name (SPN) for a Report Server.
Zmienianie konta usługi do uruchamiania przy użyciu wbudowanego konta takie jak Usługa sieciowa.Wbudowane konta mapować nazwy główna nazwa usługi HTTP główna nazwa usługi hosta, który został zdefiniowany podczas dołączania komputera do sieci.Aby uzyskać więcej informacji zobacz How to: Configure a Service Account for Reporting Services.
Za pomocą NTLM.NTLM zwykle będzie działać w przypadkach, gdy uwierzytelnianie Kerberos nie powiedzie się.Aby używać NTLM, usuwanie RSWindowsNegotiate z RSReportServer.config pliku i Zweryfikuj, że tylko RSWindowsNTLM jest określony. Po wybraniu tej metody, można nadal używać konta użytkownika domena dla serwer raportów usługa nawet wtedy, gdy główna nazwa usługi nie zostanie zdefiniowana dla niego.
W jaki sposób przeglądarki wybiera wynegocjowany Kerberos lub negocjowane, NTLM
Gdy program Internet Explorer jest używany do łączenia się z serwer raportów, określa negocjowany protokół Kerberos i NTLM nagłówka uwierzytelnianie.Uwierzytelnianie NTLM jest używane zamiast protokołu Kerberos, gdy:
Żądanie jest wysyłane do lokalnych serwer raportów.
Żądanie jest wysyłane na adres IP z serwer raportów komputera, a nie nazwę nagłówka hosta serwera.
Porty bloki oprogramowanie zapory używane do uwierzytelnianie Kerberos.
System operacyjny z konkretnego serwera nie ma włączony protokół Kerberos.
Domena zawiera starsze wersje systemu Windows klient i systemami operacyjnymi serwerów, które nie obsługują funkcji uwierzytelnianie Kerberos, wbudowane w nowszych wersjach systemu operacyjnego.
Ponadto program Internet Explorer może wybrać negocjowany protokół Kerberos i NTLM w zależności od sposobu skonfigurowania adresu URL sieci LAN i ustawienia serwera proxy.
Adres URL serwer raportów
Jeśli adres URL zawiera w pełni kwalifikowanej nazwy domena, programu Internet Explorer wybiera uwierzytelnianie NTLM.Jeśli adres URL określa hosta lokalnego, program Internet Explorer wybiera uwierzytelnianie NTLM.Jeśli adres URL określa nazwę sieci na komputerze, program Internet Explorer wybierze nagłówek Negotiate, będzie powiodła się lub nie działać w zależności od tego, czy istnieje główna nazwa usługi serwer raportów konto usługa.
Sieci LAN i ustawienia serwera proxy na komputerze klienckim
Sieci LAN i z serwera proxy zestaw tings, które zestaw w programie Internet Explorer można określić czy NTLM jest wybierany za pośrednictwem protokołu Kerberos.Jednakże ponieważ ustawienia serwera proxy w sieci LAN i różnią się od organizacji, nie jest można precyzyjnie określić dokładne ustawienia, które przyczyniają się do protokołu Kerberos błędy uwierzytelnianie.Na przykład organizacja może wymusić ustawienia serwera proxy, które adresy URL z adresów URL w sieci intranet do domena w pełni kwalifikowana nazwa adresu URL, na który rozwiązania za pośrednictwem połączenia z Internetem.Jeśli uwierzytelnianie różnych dostawców są używane dla różnych typów adresów URL, może się okazać, niektóre połączenia została wykonana pomyślnie, gdy użytkownik będzie oczekiwać ich nie powiedzie się.
W przypadku wystąpienia błędów połączenia, prawdopodobnie z powodu mają błędy uwierzytelnianie, można wypróbować różne kombinacje ustawień serwera proxy w sieci LAN i izolowanie problemu.W programie Internet Explorer, ustawienia sieci LAN i z serwera proxy są na Ustawienia sieci lokalnej (LAN) okno dialogowe , otwieranego przez kliknięcie przycisku Ustawienia sieci LAN on the Połączenia tab of Opcje internetowe.