Rapor sunucusu Windows kimlik doğrulamasını yapılandırma
Varsayılan olarak, Reporting ServicesAnlaş veya ntlm kimlik doğrulaması belirtin isteklerini kabul eder. Dağıtımınızı istemci uygulamaları ve bu güvenlik sağlayıcıları kullanan tarayıcılar içeriyorsa, ek yapılandırmaya gerek olmadan varsayılan değerleri kullanabilirsiniz. Kullanmak isterseniz farklı güvenlik sağlayıcısı Windows Güvenlik (örneğin, Kerberos doğrudan kullanmak istiyorsanız) ya da eğer varsayılan değerleri olarak entegre ve özgün ayarları geri yüklemek istiyorsanız, raporu sunucuda kimlik doğrulama ayarlarını belirtmek için bu konudaki bilgileri kullanabilirsiniz.
Kullanma pencere eşiği için tümleşik güvenliğini, her kullanıcının erişmesi gereken bir rapor sunucusu geçerli bir Windows yerel olmalıdır veya etki alanı kullanıcı hesabı veya yerel Windows üyesi veya etki alanı grubu hesabı olabilir. Bu etki alanlarının güvenilir olduğunu sürece diğer etki alanlarında hesapları içerebilir. Hesaplar raporu sunucu bilgisayara erişiminiz olmalıdır ve sonradan rollere belirli rapor sunucu işlemlerine erişim için atanmış olmalıdır.
Ayrıca aşağıdaki ek gereksinimlerin karşılanması gerekir:
RSeportServer.config dosyalar olması gerekir AuthenticationTypeiçin RSWindowsNegotiate, RSWindowsKerberos, ya RSWindowsNTLM. RSReportServer.config dosyasını varsayılan olarak içerir RSWindowsNegotiateReport Server hizmet hesabını NetworkService veya LocalSystem; ise ayarı Aksi takdirde, RSWindowsNTLMayarı kullanılır. Sen-ebilmek eklemek RSWindowsKerberos, yalnızca Kerberos kimlik doğrulaması kullanan uygulamalarınız varsa.
Önemli Kullanarak RSWindowsNegotiatebir Kerberos kimlik doğrulaması hata raporu sunucu hizmeti bir etki alanı kullanıcı hesabı altında çalıştırmak için yapılandırılmış ve hesabı için bir hizmet asıl adı (spn) kaydetmemiş sonuçlanır. Daha fazla bilgi için bkz: Çözme Kerberos kimlik doğrulama hataları zaman bağlanmak için rapor sunucusu bu konuda.
ASP.NETWindows kimlik doğrulaması için yapılandırılmış olması gerekir. Report Server Web hizmetini ve Report Manager için Web.config dosyaları varsayılan olarak dahil <kimlik doğrulama modu = "Windows"> ayar. Eğer değiştirmek için <kimlik doğrulama modu = "Formlar">, Windows kimlik doğrulaması için Reporting Servicesbaşarısız olur.
Web.config dosyaları için rapor sunucusu Web hizmeti ve Rapor Yöneticisi olması gerekir <Identity impersonate = "true" />.
İstemci uygulaması ya da tarayıcı tümleşik Windows güvenliği desteklemesi gerekir.
Rapor sunucusu kimlik doğrulama ayarlarını değiştirmek için RSReportServer.config dosyasındaki değerleri ve xml öğeleri düzenleyin. Kopyalama ve belirli birleşimleri uygulamak için bu konudaki örnekler yapıştırın.
Varsayılan ayarları, tüm istemci ve sunucu bilgisayarların aynı etki alanında veya güvenilen bir etki alanında ve rapor sunucusu intranet erişimi bir şirket güvenlik duvarı arkasında konuşlanmış en iyi çalışır. Güvenilir ve tek etki alanları Windows kimlik bilgilerinin iletilmesi için bir gereksinim vardır. Kerberos sürüm 5 Protokolü sunucularınız için etkinleştirirseniz, kimlik bilgileri birden çok kez geçirilebilir. Aksi takdirde, kimlik bilgileri onlar sona ermeden önce yalnızca bir kez gönderilir. Birden çok bilgisayar bağlantı kimlik bilgilerini yapılandırma hakkında daha fazla bilgi için bkz: Kimlik bilgisi ve raporu veri kaynakları için bağlantı bilgilerini belirtme.
Aşağıdaki yönergeler, yerel mod rapor sunucusu için tasarlanmıştır. Rapor sunucusu SharePoint tümleşik modunda dağıttıysanız tümleşik Windows güvenliği belirttiğiniz varsayılan kimlik doğrulama ayarlarını kullanmanız gerekir. Rapor sunucusu SharePoint ile tümleşik modda rapor sunucuları desteklemek için varsayılan Windows kimlik doğrulama uzantısı dahili özelliklerini kullanır.
Kimlik doğrulaması için genişletilmiş koruma
İle başlayan SQL Server 2008 R2, destek için genişletilmiş koruma için kimlik doğrulaması kullanılabilir. SQL ServerÖzelliği, Kanal bağlama ve hizmet bağlama kimlik korumasını geliştirmek için kullanmayı destekler. Reporting ServicesÖzelliklerine gereksinim genişletilmiş koruma destekleyen bir işletim sistemiyle kullanılmak üzere. Reporting Servicesyapılandırma genişletilmiş koruma için RSReportServer.config dosyasındaki ayarları tarafından belirlenir. Dosya, dosyayı düzenleme veya WMI API'leri kullanılarak güncelleştirilebilir. Daha fazla bilgi için Raporlama Hizmetleri ile kimlik doğrulaması için genişletilmiş korumave Troubleshooting Extended Protection (Reporting Services).
Windows tümleşik güvenliği kullanmak için rapor sunucusu yapılandırmak için
RSReportServer.config bir metin düzenleyicisinde açın.
Find <Authentication>.
Gereksinimlerinize en iyi uyan aşağıdaki xml yapıları kopyalayın. Belirleyebileceğiniz RSWindowsNegotiate, RSWindowsNTLM, ve RSWindowsKerberosherhangi bir sırada. Tek tek her isteğini yerine bağlantı doğrulamak isterseniz kimlik kalıcılık etkinleştirmeniz gerekir. Kimlik doğrulama sürdürme altında kimlik doğrulaması gerektiren tüm isteklerinin bağlantı süresi için izin verilir.
Report Server hizmet hesabını NetworkService veya LocalSystem olduğunda ilk xml yapısını varsayılan yapılandırmadır:
<Authentication> <AuthenticationTypes> <RSWindowsNegotiate /> </AuthenticationTypes> <EnableAuthPersistence>true</EnableAuthPersistence> </Authentication> <Authentication> <AuthenticationTypes> <RSWindowsNegotiate /> </AuthenticationTypes> <EnableAuthPersistence>true</EnableAuthPersistence> </Authentication>
Report Server hizmet hesabını NetworkService veya LocalSystem olduğunda ikinci xml yapısını varsayılan yapılandırmadır:
<Authentication> <AuthenticationTypes> <RSWindowsNTLM /> </AuthenticationTypes> <EnableAuthPersistence>true</EnableAuthPersistence> <Authentication> <AuthenticationTypes> <RSWindowsNTLM /> </AuthenticationTypes> <EnableAuthPersistence>true</EnableAuthPersistence>
</ Kimlik doğrulaması>
Üçüncü xml yapısını tüm güvenlik paketleri Windows tümleşik güvenliği kullanılan belirtir.
<AuthenticationTypes> <RSWindowsNegotiate /> <RSWindowsKerberos /> <RSWindowsNTLM /> </AuthenticationTypes> <AuthenticationTypes> <RSWindowsNegotiate /> <RSWindowsKerberos /> <RSWindowsNTLM /> </AuthenticationTypes>
Dördüncü xml yapısını ntlm Kerberos desteği dağıtımları için ya da Kerberos kimlik doğrulaması hatalarına çalışmak için belirtir:
<AuthenticationTypes> <RSWindowsNTLM /> </AuthenticationTypes> <AuthenticationTypes> <RSWindowsNTLM /> </AuthenticationTypes>
Hamur o içinde varolan girişleri <Authentication>.
Sen cant'kullanma Not Customile RSWindowstürleri.
Genişletilmiş koruma için uygun ayarları değiştirin. Genişletilmiş koruma, varsayılan olarak devre dışıdır. Bu girdi yoksa, geçerli bilgisayar sürümü çalışmıyor olabilir Reporting Serviceshangi çekmek genişletilmiş koruma. Daha fazla bilgi için bkz.Raporlama Hizmetleri ile kimlik doğrulaması için genişletilmiş koruma
<RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel> <RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionScenario> <RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel> <RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionScenario>
Dosyayı kaydedin.
Ölçek dışarı dağıtım yapılandırdıysanız, diğer rapor sunucuları dağıtımı için bu adımları yineleyin.
Açık olan tüm oturumlara temizlemek için rapor sunucusunu yeniden başlatın.
Rapor sunucuya bağlanırken Kerberos kimlik doğrulama hataları çözme
Kerberos kimlik doğrulaması hata Negotiate veya Kerberos kimlik doğrulaması için yapılandırılmış bir rapor sunucusunda rapor sunucusu istemci bağlantı başarısız olur. Kerberos kimlik doğrulama hataları oluştuğu bilinen zaman:
Raporu sunucu hizmeti bir Windows etki alanı kullanıcı hesabı olarak çalışır ve hesabı için bir hizmet asıl adı (spn) kaydolamadı.
Rapor sunucusu yapılandırılmış RSWindowsNegotiateayarı.
Tarayıcı Kerberos ntlm kimlik doğrulama üstbilgisi rapor sunucuya gönderir isteğinde seçer.
Kerberos günlüğü etkinleştirildiğinde hata tespit edebilir. Başka bir hata birden çok kez kimlik bilgileri sorulur ve boş bir tarayıcının bakın belirtisidir.
Kaldırarak Kerberos kimlik doğrulama hatası karşılaşıyorsanız onaylayabilirsiniz < RSWindowsNegotiate /> yapılandırma dosyanızı ve bağlantı reattempting.
Sorun doğruladıktan sonra aşağıdaki yollarla Adres:
Raporu sunucu hizmeti etki alanı kullanıcı hesabı altında bir spn kaydettirin. Daha fazla bilgi için, bkz. Rapor sunucusu hizmet asıl adı (spn) kayıt.
Ağ hizmeti gibi yerleşik bir hesap altında çalıştırmak için hizmet hesabını değiştirme. Yerleşik hesaplar ana spn, ağınıza bilgisayar eklemek hangi tanımlanan http spn eşleyin. Daha fazla bilgi için, bkz. Hizmet hesabı için Raporlama Hizmetleri Yapılandırma.
ntlm kullanın. ntlm, genellikle nerede Kerberos kimlik doğrulaması başarısız durumda çalışacaktır. ntlm kullanmak için kaldırma RSWindowsNegotiateRSReportServer.config dosya ve yalnızca doğrulayın RSWindowsNTLMbelirtilen. Bu yaklaşımı tercih ederseniz, bile bir spn için tanımladığınız değil için rapor sunucusu hizmeti bir etki alanı kullanıcı hesabı kullanmaya devam edebilirsiniz.
Günlük bilgisi
Çeşitli kaynaklar Kerberos çözmeye yardımcı olabilir günlük bilgisi ile ilgili sorunlar.
Kullanıcı hesabı denetim özniteliği
Olmadığını Reporting Serviceshizmet hesabı olan yeterli özniteliği Active Directory'de. Oturum UserAccountControl özniteliğinin değeri bulmak için Raporlama Hizmetleri hizmet izleme günlük dosyasını gözden geçirin. Oturum değeri ondalık biçimdedir. Ondalık değer onaltılık formuna dönüştürmek ve sonra kullanıcı hesabı denetim özniteliği tanımlayan MSDN konusuna bu değeri bulmak gerekiyor.
Raporlama Hizmetleri hizmet izleme günlüğü girişi aşağıdakine benzer görünümde:
appdomainmanager!DefaultDomain!8f8!01/14/2010-14:42:28:: i INFO: The UserAccountControl value for the service account is 590336 appdomainmanager!DefaultDomain!8f8!01/14/2010-14:42:28:: i INFO: The UserAccountControl value for the service account is 590336
Ondalık değeri onaltılık forma dönüştürmek için bir seçenek olduğunu bize MicrosoftWindows hesap makinesi. Windows hesap makinesi 'Dec' göstermek birkaç modlarını destekler seçenek ve 'Hex' Seçenekler. 'Dec' seçin seçeneği, Yapıştır ya da günlük dosyasında bulunan ve 'Hex' seçin ondalık değeri yazın seçeneği.
Sonra konuya bakın Kullanıcı hesabı denetim özniteliği özniteliği için hizmet hesabı türetmek için.
SPN'ler yapılandırıldı Raporlama Servisleri için Active Directory'de hizmet hesabı.
SPN'ler oturum Reporting Serviceshizmet izleme günlük dosyası sağlar Reporting ServicesGenişletilmiş koruma özelliğini geçici olarak.
Yapılandırma dosyasını değiştirmek rsreportserver.configaşağıdaki ayarı:
<RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel> <RSWindowsExtendedProtectionScenario>Any</RSWindowsExtendedProtectionScenario> <RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel> <RSWindowsExtendedProtectionScenario>Any</RSWindowsExtendedProtectionScenario>
Yeniden Reporting Serviceshizmet ve izleme günlük dosyasında aşağıdakine benzer girdileri arayın:
rshost!rshost!e44!01/14/2010-14:43:51:: i INFO: Registered valid SPNs list for endpoint 2: rshost!rshost!e44!01/14/2010-14:43:52:: i INFO: SPN Whitelist Added <Explicit> - <HTTP/sqlpod064-13.w2k3.net>. rshost!rshost!e44!01/14/2010-14:43:51:: i INFO: Registered valid SPNs list for endpoint 2: rshost!rshost!e44!01/14/2010-14:43:52:: i INFO: SPN Whitelist Added <Explicit> - <HTTP/sqlpod064-13.w2k3.net>.
Altındaki değerleri <açık> için Active Directory'de yapılandırılan SPN içerecek Reporting Serviceshizmet hesabı.
Genişletilmiş koruma kullanmaya devam etmek istemiyorsanız, daha sonra yapılandırma değerleri varsayılanlarına geri ayarlayın ve yeniden Reporting Serviceshizmet hesabı.
<RSWindowsExtendedProtectionLevel>Off</RSWindowsExtendedProtectionLevel>
<RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionScenario>
<RSWindowsExtendedProtectionLevel>Off</RSWindowsExtendedProtectionLevel>
<RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionScenario>
Daha fazla bilgi için bkz:Raporlama Hizmetleri ile kimlik doğrulaması için genişletilmiş koruma
Anlaşılan Kerberos veya ntlm anlaşılan nasıl tarayıcı seçer
Rapor sunucuya bağlanmak için Internet Explorer'ı kullandığınızda, anlaşılan Kerberos ya da ntlm kimlik doğrulama başlığı belirtir. ntlm yerine Kerberos kullanılır olduğunda:
İsteği yerel rapor sunucuya gönderilir.
İstek, bir ana bilgisayar üstbilgi veya sunucu adı yerine, raporu sunucu bilgisayarın IP adresine gönderilir.
Güvenlik Duvarı yazılım blokları bağlantı noktaları, Kerberos kimlik doğrulaması için kullanılır.
Belirli bir sunucu işletim sistemi, Kerberos etkin yok.
Etki alanı Windows istemci ve sunucu işletim sistemlerinin yeni sürümleri işletim sisteminin inşa Kerberos kimlik doğrulama özelliği desteklemeyen eski sürümlerini içerir.
Ayrıca, Internet Explorer anlaşılan Kerberos ya da ntlm nasıl url, lan ve proxy ayarlarını yapılandırdığınız bağlı seçebilirsiniz.
Rapor sunucusu URL'sı
url bir tam etki alanı adı varsa, Internet Explorer ntlm seçer. Internet Explorer, belirtir url localhost, ntlm seçer. url, bilgisayarın ağ adını belirtir, Internet Explorer Negotiate, başarılı veya başarısız spn için rapor sunucusu hizmet hesabı bulunup bağlı olacaktır seçer.
lan ve Proxy ayarlarını istemci
lan ve proxy ayarları, Internet Explorer'da ayarladığınız ntlm Kerberos üzerinde seçilmiş olup olmadığını belirleyebilirsiniz. Çünkü lan ve proxy ayarlarını kuruluşlar arasında değişir, ancak kesin için Kerberos kimlik doğrulama hataları katkıda tam ayarları belirlemek mümkün değil. Örneğin, kuruluşunuzun Intranet URL'leri URL'leri çözmek Internet bağlantıları üzerinden tam etki alanı adı URL'lere dönüştürmek proxy ayarlarını zorunlu. Farklı kimlik doğrulama sağlayıcıları farklı URL'ler için kullanılan, onları başarısız umuyordum bazı bağlantılar başarılı olduğunu bulabilirsiniz.
Kimlik doğrulama hataları nedeniyle olduğunu düşünüyorum bağlantı hataları karşılaşırsanız, sorunu yalıtmak için lan ve proxy ayarları farklı kombinasyonlar deneyebilirsiniz. lan ve proxy ayarları olan Internet Explorer'ın Yerel ağ (lan) ayarları tıklayarak Aç iletişim kutusunda, lan Ayarları üzerine bağlantı sekmesini Internet Seçenekleri.
Dış kaynaklar
- Kerberos ve rapor sunucuları ile ilgili ek bilgi için bkz: İş Zekası çözümü kullanarak SharePoint, raporlama ve izleme Project Server Kerberos ile dağıtma.
Ayrıca bkz.
Görevler
Rapor sunucusu üzerinde temel kimlik doğrulaması yapılandırma
Rapor sunucusunda özel veya Forms kimlik doğrulamasını yapılandırma
Kavramlar
Rapor sunucusu ile kimlik doğrulama
Yerel mod rapor sunucusu üzerinde izinleri verme
RSReportServer Yapılandırma dosyası
Raporlama Hizmetleri ile kimlik doğrulaması için genişletilmiş koruma