зарегистрировать имя участника-службы для сервера отчетов

При развертывании служб Службы Reporting Services в сети, где для взаимной проверки подлинности используется протокол Kerberos, а сервер отчетов настроен для запуска от учетной записи пользователя домена, необходимо создать для службы сервера отчетов имя участника-службы (SPN).

Сведения об именах участников-служб

Имя участника-службы представляет собой уникальный идентификатор службы в сети, использующей проверку подлинности по протоколу Kerberos. Оно состоит из класса службы, имени узла и номера порта. В сети с проверкой подлинности по протоколу Kerberos имя участника-службы для сервера должно быть зарегистрировано либо со встроенной учетной записью компьютера (например, «Сетевая служба» или «Локальная система»), либо с учетной записью пользователя. Регистрация имен участников-служб для встроенных учетных записей производится автоматически. Если же служба запускается от учетной записи пользователя домена, необходимо вручную зарегистрировать имя участника-службы для применяемого типа учетной записи.

Создание имени участника-службы производится при помощи программы командной строки SetSPN. Дополнительные сведения см. в следующих разделах:

• Setspn (https://technet.microsoft.com/en-us/library/cc731241(WS.10).aspx).

• Синтаксис имен участников-служб (SPNs) в SetSPN (Setspn.exe) (https://social.technet.microsoft.com/wiki/contents/articles/717.service-principal-names-spns-setspn-syntax-setspn-exe.aspx).

Для ее запуска на контроллере домена необходимо быть администратором домена.

Синтаксис

Синтаксис команд, применяющийся в программе SetSPN для создания имени участника-службы для сервера отчетов, выглядит следующим образом.

Setspn -s http/<computername>.<domainname>:<port> <domain-user-account>

Программа SetSPN входит в Windows Server. Аргумент -s добавляет имена участников-служб после проверки на отсутствие дубликатов. Примечание. Аргумент -s доступен в Windows Server, начиная с Windows Server 2008.

HTTP — класс службы. Веб-служба сервера отчетов работает в компоненте HTTP.SYS. Создание имени участника-службы для компонента HTTP имеет один побочный эффект: всем веб-приложениям, запускаемым компонентом HTTP.SYS (включая размещенные в службе IIS), будут предоставляться билеты на основе учетной записи пользователя домена. Если эти службы запускаются от имени других учетных записей, то запросы на проверку подлинности будут завершаться ошибкой. Чтобы избежать этой проблемы, необходимо настроить все HTTP-приложения для запуска от одной и той же учетной записи либо назначить для каждого из приложений заголовок, а для каждого из узлов создать отдельное имя участника-службы. При настройке заголовков узлов изменения в DNS придется вносить вне зависимости от настройки служб Службы Reporting Services.

Значения <computername>, <domainname> и <port> составляют уникальный сетевой адрес компьютера, на котором расположен сервер отчетов. Это может быть как локальное имя узла, так и полное доменное имя. Если имеется всего один домен, и используется порт 80, аргументы <domainname> и <port> в командной строке можно не указывать. Аргумент <domain-user-account> представляет собой учетную запись пользователя, под которой выполняется служба сервера отчетов, и для которой должно быть зарегистрировано имя участника-службы.

Регистрация имени участника-службы для учетной записи пользователя домена

Регистрация имени участника-службы для службы сервера отчетов, которая запускается от имени пользователя домена

1. Установите службы Службы Reporting Services и настройте службу сервера отчетов для запуска от учетной записи пользователя домена. Не забывайте, что пользователи не смогут соединиться с сервером отчетов до тех пор, пока не будут выполнены все описанные ниже шаги.

2. Войдите на контроллер домена как администратор домена.

3. Откройте окно командной строки.

4. Скопируйте следующую команду, заменив заполнители значениями для конкретной сети:

   Setspn -s http/<computer-name>.<domain-name>:<port> <domain-user-account>
   

   Например: Setspn -s http/MyReportServer.MyDomain.com:80 MyDomainUser

5. Выполните команду.

6. Откройте файл RsReportServer.config и найдите раздел <AuthenticationTypes>.

7. Добавьте <RSWindowsNegotiate/> в качестве первой записи этого раздела для включения NTLM.

См. также

Задания

настроить учетную запись службы для служб Reporting Services

Основные понятия

Настройка учетной записи службы сервера отчетов

Управление сервером отчетов служб Reporting Services в собственном режиме