Planowanie ekstranetowy lub Internet wdrażania
Chociaż usługi SQL Server Reporting Services nie zostały zaprojektowane specjalnie z myślą o scenariuszach wdrażania raportów w ekstranecie lub Internecie, usługi Reporting Services można z powodzeniem umieścić na dostępnym przez Internet serwerze sieci Web w celu dystrybuowania informacji ogólnych do szerokiej publicznej wiadomości lub prywatnych danych firmowych do autoryzowanych i uwierzytelnionych użytkowników.
Uwaga
Wdrażanie Reporting Services na serwerze sieci Web z bezpośrednim dostępem do Internetu wymaga starannej oceny.Oprogramowanie sieciowe i zabezpieczające, topologia sieci i konfiguracja domeny mogą wprowadzać zmienne, które utrudniają zdefiniowanie jednoznacznych procedur wdrażania serwera raportów.Podczas szacowania serwer raportów, dostęp do Internetu, upewnij się, że Twoje scenariuszy testowania obejmuje wszystkie funkcje, które będą używane i zawsze sprawdzenie przy użyciu bezpiecznych połączeń.
Schemat architektury ekstranetu lub Internetu
Poniższy rysunek zawiera przykład sprawdzonej konfiguracji wdrażania dla ekstranetu lub wdrożenia internetowego.
.gif "Internet or extranet report server deployment")
Oto najważniejsze informacje dotyczące diagramu, na które należy zwrócić uwagę:
Trzy zapory zapewniają szczegółową obronę całego wdrożenia.W tym temacie znajdują się wskazówki dotyczące konfigurowania zapory.
Punkt wejścia jest niestandardową aplikacją internetową, która zawiera formant ReportViewer.Formant obsługuje raport, który jest uruchamiany na serwerze raportów za drugą zaporą.
Raporty używają danych ze źródeł danych tylko do odczytu, które zostały utworzone specjalnie na potrzeby sprawozdawczości.Źródła danych zawierają dane, które są kopiowane z innych źródeł, ale bez wartości danych poufnych, których użytkownik nigdy nie użyłby w raporcie.
Serwery danych firmy zawierają dane poufne, chronione za pomocą ścisłych uprawnień i restrykcyjnych ustawień zapory.Należy również rozważyć wprowadzenie baza danych serwer raportów w tej strefie zabezpieczeń, dzięki czemu odczytu i zapisu wszystkich serwerów baz danych, które wymagają dostępu można użyć ochrony zapewnianej przez zaporę trzeciego.
Ogólne wskazówki
Poniższa lista zawiera ogólne wytyczne dotyczące wdrażania programu Reporting Services w topologii przedstawionej w tym temacie.Ta lista jest oferowana jako punkt wyjścia do planowania planu wdrażania.Określona konfiguracja topologii sieci prawdopodobnie wymaga wykonania dodatkowych kroków, które nie zostały opisane na tej liście.
Jest rzeczą ważną, aby wdrożyć konfigurację w środowisku testowym i potwierdzić, że zrozumiano wszystkie wymagania, ustawienia, kroki i najlepszą kolejności wykonania tych kroków:
Zainstalowanie zapór i identyfikowanie serwerów, kont i uprawnień.
Utwórz lub uzyskaj certyfikaty serwera dla połączeń SSL.Zainstaluj certyfikaty na wszystkich komputerach obsługujących składniki serwera.Jeśli zainstalowano certyfikaty z ustawieniami symbole wieloznaczne, można użyć tego samego certyfikatu dla wielu adresów URL.
Zaprojektuj i wdroż podejście do kopiowania danych firmy, aby rozdzielić źródła danych raportowania.Można używać technologii, takich jak replikacja, programu SQL Server Integration Services lub produktów innych firm.
Zainstaluj program Reporting Services w trybie instalacji „tylko pliki”, dzięki czemu można w nim skonfigurować ustawienia prawidłowe dla dostępu z zewnątrz.W Kreatorze instalacji SQL Server jest to opcja Instaluj, ale nie konfiguruj.
Uruchom narzędzie konfiguracji programu Reporting Services po zakończeniu pracy Instalatora w celu skonfigurowania serwera raportów:
Upewnij się, że usługa jest uruchamiana na koncie o najmniejszych uprawnieniach.Należy unikać używania systemu lokalnego.Jeśli wybrano system lokalny, należy zmienić konto, aby używać NetworkService lub konta użytkownika domeny.
Określ adres URL serwera raportów i opcjonalnie adres URL menedżera raportów:
Należy utworzyć wiele adresów URL do obsługi dostępu przy użyciu w pełni kwalifikowaną nazwą domena (FQDN) używane przez użytkowników zewnętrznych, a inny adres URL korzystające z nazwy sieci.Za pomocą dwóch różnych adresów URL pozwala łączyć się z serwer raportów Jeśli połączenie internetowe jest wyłączony lub w trybie offline.
Należy wybrać opcję certyfikatów SSL dla adresów URL nazwy FQDN, zdefiniowanych przez użytkownika.
Utwórz baza danych serwera raportów.Jeśli wystąpienie SQL Server znajduje się w innej domenie, a protokół Kerberos w wersji 5.0 nie jest włączony, dla połączenia z bazą danych serwera raportów użyj uwierzytelniania SQL Server.Bezpieczne połączenie między komputerem serwera raportów i wystąpieniem programu SQL Server Database Engine przy użyciu protokołu SSL lub IPSec.
Utwórz i wdroż rozszerzenia niestandardowego uwierzytelnianie.Jeśli korzystasz z technologii pojedynczej rejestracji zaimplementowanej jako filtr ISAPI, musisz użyć programu ISA Server do obsługi filtru ISAPI.Odbiornik HTTP w programie Reporting Services nie obsługuje filtrów ISAPI.
Konfigurowanie przypisań ról, które używają zasad bezpieczeństwa niestandardowego rozszerzenia uwierzytelniania, i mapowanie ich na role, które udzielają uprawnień do operacji serwera raportów.
Utwórz i wdroż internetową aplikację typu front-end, która wykorzystuje formant serwera sieci ReportViewer Web.
Opublikuj raporty i inne typy zawartości na serwerze raportów.
Skonfiguruj ustawienia zapory.Sprawdź, czy ustawienia zapory umożliwiają minimalny dostęp do niższego rzędu komputerów i aplikacji.
Konfiguracje zapory
Domyślne adresy URL aplikacji serwera raportów zakładają, że port 80 jest włączony i dostępny dla serwera raportów.Jeśli korzystasz z Zapory systemu Windows, należy otworzyć port 80 lub inny port dostępny dla żądań HTTP serwera raportów.Jeśli używasz innego portu, należy określić go w adresach URL serwer raportów.Aby uzyskać więcej informacji, zobacz How to: Configure a Firewall for Report Server Access.Aby uzyskać więcej informacji na temat domyślnych ustawień Zapory systemu Windows oraz opis portów TCP, które wpływają na aparat bazy danych, usługi Analysis Services, usługi raportowania oraz usługi Integration Services, zobacz Configuring the Windows Firewall to Allow SQL Server Access.
Formant serwera sieci Web ReportViewer w aplikacji internetowej
Aby wdrożyć raporty w aplikacji internetowej, formant serwera sieci ReportViewer Web można osadzić w niestandardowej aplikacji internetowych, którą można utworzyć i wdrożyć.Formant serwera sieci Web ReportViewer znajduje się w programie Visual Studio w wersji 2005 i nowszych i może być swobodnie rozpowszechniany z aplikacją.Można skonfigurować formant, aby wyświetlić raporty, które są uruchamiane na serwerze raportów.Połączenie między aplikacją a serwerem raportów jest obsługiwane przez formant, za pośrednictwem interfejsu programowania usługi sieci Web.Całe uwierzytelnianie i autoryzacja są obsługiwane przez daną aplikację, która łączy się z serwerem raportów za pośrednictwem pojedynczego, zaufanego przez użytkownika połączenia.
Aby uzyskać więcej informacji, zobacz Reporting Services and ReportViewer Controls in Visual Studio.
Program Report Manager jako internetowy lub ekstranetowy fronton sieci Web
Menedżer raportów nie został zaprojektowany jako aplikacja internetowa, ale jeśli nie można utworzyć niestandardowej aplikacji internetowej, można go używać do wyświetlania raportów za pośrednictwem połączenia internetowego.Następujące sugestie są oferowane jako najlepsze praktyki zaleceń dotyczących wdrażania:
Należy rozważyć zainstalowanie Menedżera raportów jako osobne wystąpienie na serwerze aplikacji.Menedżer raportów jest uruchamiany w ramach usługi serwera raportów.W związku z tym aby zainstalować Menedżera raportów, należy zainstalować usługi Reporting Services, a następnie wyłączyć w nich usługę sieci Web oraz funkcje planowania i dostarczania.Aby uzyskać najlepsze wyniki, zainstaluj Reporting Services na serwerze sieci Web z dostępem do Internetu, jedynie przy użyciu trybu plików instalacji.W Kreatorze instalacji SQL Server jest to opcja Instaluj, ale nie konfiguruj.
Utwórz i wdroż rozszerzenie zabezpieczeń niestandardowych do obsługi uwierzytelniania formularzy lub znaku jeden na technologii.
Skonfiguruj menedżera raportów dla minimalnych uprawnień.Rola przeglądarki i rola użytkownika systemu są wystarczające do wyświetlania raportów.
Do wskazać Menedżerowi raportów inne wystąpienie serwera raportów, które działa na innym komputerze, musisz skonfigurować adres URL Menedżer raportów i następnie zmodyfikować <ReportServerVirtualDirectory> a <ReportServerUrl> ustawienia w RSReportServer. plik konfiguracji do Menedżer raportów punktu w wystąpieniu serwer raportów.
Na serwerze raportów, z którym się łączysz, wyłącz funkcje, które nie będą używane.Przykłady mogą obejmować Moje raporty, subskrypcję i dostawy, Konstruktora raportów i drukowania po stronie klient.
Skonfiguruj ustawienia serwera proxy w plikach Web.config
Jeśli Menedżer raportów jest używany jako aplikacji frontonu dla wdrożenia Internetowego, a serwer raportów jest również zainstalowany na tym samym komputerze, należy określić ustawienia Web.config umożliwiające Menedżerowi raportów pomijanie serwera proxy podczas wysyłania żądań do lokalnego serwera raportów zainstalowanego na tym samym komputerze.
Ustawienie Web.config jest ustawieniem sieci System.NET defaultProxy.Domyślnie defaultProxy jest wyłączona w pliku Web.config dla Menedżera raportu.Jest to zalecana konfiguracja, gdy Menedżer raportów oraz serwer raportów są wdrożone razem na jednym komputerze.
W przypadku uaktualniania ze starszej wersji usług Reporting Services plik Web.config Menedżera raportów nie zawiera ustawienia konfiguracyjnego defaultProxy.Można dodawać i konfigurować defaultProxyustawienie, aby nie używaj serwera proxy dla instalacji, w którym Menedżer raportów i serwer raportów są uruchomione na tym samym komputerze.Skopiuj następujące ustawienia konfiguracji do pliku Web.config Menedżer raportów:
<configuration>
...
<system.net>
<defaultProxy enabled="false" />
</system.net>
</configuration>
Aby uzyskać więcej informacji o tych ustawieniach, zobacz „Konfigurowanie aplikacji internetowych” i „Element defaultProxy (ustawienia sieciowe)” w Podręczniku dewelopera Microsoft .NET Framework.
Uwagi dotyczące uwierzytelniania dla wdrożenia ekstranetu i Internetu
Aby wdrożyć serwer raportów w scenariuszu ekstranet scenariusza, który obsługuje połączenia z wstępnie zdefiniowanych Microsoftkonta usługi Active Directory, można użyć rozszerzenie zabezpieczeń uwierzytelnianie systemu Windows domyślnie.Należy zaplanować konfigurowania serwera dla połączeń Secure Sockets Layer (SSL) i uwierzytelniania podstawowego.Można użyć narzędzia konfiguracji usług Reporting Services do mapowania istniejącego certyfikatu na adres URL serwera raportów.Można zmodyfikować pliki konfiguracyjne, aby określić typ uwierzytelniania.
Aby wdrożyć serwer raportów, ekstranet scenariusza, który obsługuje połączenia z jednym technologii rejestracji lub model uwierzytelniania opartego na formularzach, który przechowuje informacje o tożsamości użytkownika w bazie danych, należy utworzyć rozszerzenia niestandardowe uwierzytelnianie, aby zastąpić domyślne rozszerzenie zabezpieczeń uwierzytelniania systemu Windows.Uwierzytelnianie oparte na formularzach jest zazwyczaj używane, gdy serwer raportów jest publicznie dostępny, ale jedynie uwierzytelnieni użytkownicy mogą wyświetlać zawartość.Domyślnie SQL Server Reporting Services nie zawiera modułu uwierzytelniania opartego na formularzach.Aby uzyskać więcej informacji o tym, jak go utworzyć, zobacz Implementowania rozszerzeń zabezpieczeń w dokumentacji SQL Server — książki online.
Weryfikowanie wdrażania internetowego
Aby sprawdzić, czy połączenie z serwerem raportów jest dostępne, powinno być możliwe wyświetlanie obszaru nazw folderów serwera raportów za pośrednictwem połączenia internetowego, wpisując http: (lub https:)//<w-pełni-kwalifikowana-nazwa-domeny-serwera-sieci-web>/ reportserver, gdzie /reportserver to domyślna nazwa katalogu wirtualnego serwera raportów.