Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
van toepassing op:
SQL Server 2016 (13.x) Reporting Services en hoger Power BI Report Server
Reporting Services wordt geïmplementeerd als één service die een Report Server-webservice, webportal en een toepassing voor achtergrondverwerking bevat die wordt gebruikt voor geplande rapportverwerking en levering van abonnementen. In dit artikel wordt uitgelegd hoe het serviceaccount in eerste instantie is geconfigureerd en hoe u het account of wachtwoord wijzigt met het hulpprogramma Reporting Services-configuratie.
Initiële configuratie
Het rapportserverserviceaccount wordt gedefinieerd tijdens de installatie. U kunt de service uitvoeren onder een domeingebruikersaccount of een ingebouwd account, zoals een virtueel serviceaccount. Er is geen standaardaccount; welk account u ook opgeeft op de pagina Serviceaccounts van de installatiewizard wordt het eerste account van de Report Server-service.
Belangrijk
Hoewel de Report Server-webservice en -webportal afzonderlijke ASP.NET toepassingen zijn, worden ze uitgevoerd onder één servicearchitectuur binnen dezelfde procesidentiteit van Report Server.
Opmerking
Ingebouwde Windows-serviceaccounts (lokale service of netwerkservice) worden niet ondersteund als serviceaccounts voor rapportservers op een computer die een domeincontroller is.
Het serviceaccount wijzigen
Als u serviceaccountgegevens wilt weergeven en opnieuw wilt configureren, gebruikt u altijd Reporting Services Configuration Manager. Informatie over service-id's wordt intern opgeslagen op meerdere locaties. Wanneer u het hulpprogramma gebruikt, worden alle verwijzingen dienovereenkomstig bijgewerkt wanneer u het account of wachtwoord wijzigt. Reporting Services Configuration Manager voert de volgende extra stappen uit om ervoor te zorgen dat de rapportserver beschikbaar blijft:
Voegt automatisch het nieuwe account toe aan de rapportservergroep die op de lokale computer is gemaakt. Deze groep wordt opgegeven in de toegangsbeheerlijsten (ACL's) waarmee Reporting Services-bestanden worden beveiligd.
Hiermee worden de aanmeldingsmachtigingen automatisch bijgewerkt op het EXEMPLAAR van de SQL Server Database Engine dat wordt gebruikt voor het hosten van de rapportserverdatabase. Het nieuwe account wordt toegevoegd aan de RSExecRole.
De aanmelding van de database voor het oude account wordt niet automatisch verwijderd. Zorg ervoor dat u accounts verwijdert die niet meer in gebruik zijn. Zie Een rapportserverdatabase beheren (systeemeigen SSRS-modus) voor meer informatie.
Het verlenen van databasemachtigingen aan een nieuw serviceaccount vindt alleen plaats als u de databaseverbinding met de rapportserver hebt geconfigureerd om het serviceaccount in de eerste plaats te gebruiken. Als u de databaseverbinding van de rapportserver hebt geconfigureerd voor het gebruik van een domeingebruikersaccount of een aanmelding bij een SQL Server-database, heeft de update van het serviceaccount geen invloed op de verbindingsgegevens.
Hiermee wordt de versleutelingssleutel automatisch bijgewerkt om de profielgegevens van het nieuwe account op te nemen.
Opmerking
Als de rapportserver deel uitmaakt van de uitschaalimplementatie, wordt alleen de rapportserver beïnvloed die u bijwerkt. De versleutelingssleutels voor andere rapportservers in de implementatie worden niet beïnvloed door de wijziging van het serviceaccount.
Het serviceaccount van de rapportserver configureren
Start Reporting Services Configuration Manager en maak verbinding met de rapportserver.
Selecteer op de pagina Serviceaccount de optie die het type account beschrijft dat u wilt gebruiken.
Als u een Windows-gebruikersaccount hebt geselecteerd, geeft u het nieuwe account en wachtwoord op. Het account mag niet meer dan 20 tekens bevatten en mag geen speciale tekens bevatten volgens de naamgevingsregels
" / \ [ ] : ; | = , + * ? < > 'van het Windows-gebruikersaccount.Als u de rapportserver implementeert in een netwerk dat Kerberos-verificatie ondersteunt, moet u de SPN (Service Principal Name) van de rapportserver registreren met het domeingebruikersaccount dat u hebt opgegeven. Zie Een Service Principal Name (SPN) registreren voor een rapportserver voor meer informatie.
Selecteer de optie Toepassen.
Wanneer u wordt gevraagd een back-up van de symmetrische sleutel te maken, voert u een bestandsnaam en locatie in voor de back-up van de symmetrische sleutel. Voer een wachtwoord in om het bestand te vergrendelen en te ontgrendelen en selecteer vervolgens OK.
Als de rapportserver het serviceaccount gebruikt om verbinding te maken met de database van de rapportserver, worden de verbindingsgegevens bijgewerkt om het nieuwe account of wachtwoord te gebruiken. Als u de verbindingsgegevens bijwerkt, moet u verbinding maken met de database. Als het dialoogvenster SQL Server-databaseverbinding wordt weergegeven, voert u referenties in die gemachtigd zijn om verbinding te maken met de database en selecteert u OK.
Wanneer u wordt gevraagd de symmetrische sleutel te herstellen, voert u het wachtwoord in dat u hebt opgegeven in stap 5 en selecteert u OK.
Als u wilt controleren of alle taken zijn voltooid, bekijkt u de statusberichten in het deelvenster Resultaten.
Kies een account
Geef voor de beste resultaten een account op met netwerkverbindingsmachtigingen, met toegang tot netwerkdomeincontrollers en SMTP-servers (Simple Mail Transfer Protocol) of -gateways. De volgende tabel bevat een overzicht van de accounts en bevat aanbevelingen voor het gebruik ervan.
Opmerking
Overzicht van beheerde serviceaccounts voor groepen wordt niet ondersteund als een rapportserverserviceaccount.
| Account | Uitleg |
|---|---|
| Domeingebruikersaccounts | Als u een Windows-domeingebruikersaccount hebt met de minimale machtigingen die zijn vereist voor rapportserverbewerkingen, moet u dit gebruiken. U moet een domeingebruikersaccount gebruiken omdat hiermee de Report Server-service wordt geïsoleerd van andere toepassingen. Als u meerdere toepassingen uitvoert onder een gedeeld account, zoals Netwerkservice, verhoogt u het risico dat kwaadwillende gebruikers de controle over de rapportserver overnemen. Een beveiligingsschending voor elke toepassing kan eenvoudig worden uitgebreid naar alle toepassingen die onder hetzelfde account worden uitgevoerd. Als u een domeingebruikersaccount gebruikt, moet u het wachtwoord periodiek wijzigen als uw organisatie een wachtwoordverloopbeleid afdwingt. Mogelijk moet u de service ook registreren bij het gebruikersaccount. Zie Een Service Principal Name (SPN) registreren voor een rapportserver voor meer informatie. Vermijd lokale Windows-gebruikersaccounts. Lokale accounts hebben doorgaans onvoldoende machtigingen voor toegang tot resources op andere computers. Zie Overwegingen voor het gebruik van lokale accounts voor het gebruik van lokale accounts voor meer informatie over hoe de functionaliteit van de rapportserver wordt beperkt. |
| Virtueel serviceaccount | Virtueel serviceaccount vertegenwoordigt de Windows-service. Het is een ingebouwd account met minimale bevoegdheden met machtigingen voor netwerktoemelding. Gebruik dit account als er geen domeingebruikersaccount beschikbaar is of als u serviceonderbrekingen wilt voorkomen die kunnen optreden als gevolg van het verloopbeleid voor wachtwoorden. |
| Netwerkdienst |
Netwerkservice is een ingebouwd account met minimale bevoegdheden met machtigingen voor netwerktoemelding. Als u Netwerkservice selecteert, minimaliseert u het aantal andere services dat wordt uitgevoerd onder hetzelfde account. Een beveiligingsschending voor elke toepassing maakt inbreuk op de beveiliging van alle andere toepassingen die onder hetzelfde account worden uitgevoerd. |
| Lokale dienst | Lokale service is een ingebouwd account dat lijkt op een geverifieerd lokaal Windows-gebruikersaccount. Services die als lokaal serviceaccount worden uitgevoerd, hebben toegang tot netwerkbronnen als een null-sessie zonder referenties. Dit account is niet geschikt voor intranetimplementatiescenario's waarbij de rapportserver verbinding moet maken met een externe rapportserverdatabase of een netwerkdomeincontroller om een gebruiker te verifiëren voordat een rapport wordt geopend of een abonnement wordt verwerkt. |
| Lokaal systeem | Lokaal systeem is een account met hoge bevoegdheden dat niet vereist is voor het uitvoeren van een rapportserver. Vermijd dit account voor rapportserverinstallaties. Kies in plaats daarvan een domeinaccount of netwerkservice . |
Overwegingen voor lokale accounts
De primaire overweging voor lokale accounts is of de rapportserver toegang nodig heeft tot externe databaseservers, e-mailservers en domeincontrollers. Als u de rapportserver configureert voor uitvoering als een lokaal Windows-gebruikersaccount, lokale service of lokaal systeem, introduceert u overwegingen die moeten worden meegenomen in de wijze waarop u andere configuratie-instellingen instelt. Bij het maken en leveren van abonnementen moet u ook rekening houden met het volgende:
Als u de service uitvoert onder een lokaal account, worden uw opties later beperkt als u een verbinding met een externe rapportserverdatabase configureert. Als u een externe rapportserverdatabase gebruikt, moet u de verbinding configureren om een domeingebruikersaccount of SQL Server-databasegebruiker te gebruiken die gemachtigd is om u aan te melden bij het externe SQL Server-exemplaar.
Het uitvoeren van de service onder een lokaal account introduceert nieuwe vereisten voor het maken van een abonnement. De rapportserver slaat informatie op over de gebruiker die het abonnement maakt. Als de gebruiker het abonnement maakt terwijl deze is aangemeld onder een domeinaccount, probeert de Report Server-service verbinding te maken met een domeincontroller om de gebruiker te verifiëren wanneer het abonnement wordt verwerkt. Als de service wordt uitgevoerd onder een lokaal account, mislukt de verificatieaanvraag wanneer de rapportserver de aanvraag probeert te verzenden naar een externe domeincontroller. Als u deze beperking wilt omzeilen, kunt u een aangepaste verificatieextensie op basis van formulieren gebruiken of alle gebruikers verbinding laten maken met een rapportserver onder een lokaal gebruikersaccount.
Het uitvoeren van de service onder een lokaal account introduceert nieuwe vereisten voor het leveren van abonnementen. Sommige leveringsextensies hebben gebruikersaccountgegevens in de abonnementsdefinitie. Als u rapporten verzendt naar e-mailadressen die zijn gebaseerd op domeingebruikersaccounts en u de Report Server-service uitvoert onder een lokaal account, heeft deze geen toegang tot een externe domeincontroller om het doel-e-mailaccount op te lossen.
Ingebouwde Windows-serviceaccounts (lokale service of netwerkservice) worden niet ondersteund als serviceaccounts voor rapportservers op een computer die een domeincontroller is.
Zie Windows-serviceaccounts en -machtigingen configureren voor hulp bij het bepalen van een aanpak die het beste is voor uw implementatie.
Een verlopen wachtwoord bijwerken
Als de Report Server-service wordt uitgevoerd onder een domeinaccount en het wachtwoord verloopt voordat u het kunt bijwerken in Report Server Configuration Manager, wordt de service pas gestart wanneer u een nieuw wachtwoord opgeeft.
Als het wachtwoord van het serviceaccount voor de database-engine verloopt, treedt de fout rsReportServerDatabaseUnavailable op wanneer u verbinding probeert te maken met de rapportserver. Als u het wachtwoord opnieuw instelt, wordt deze fout opgelost.
Problemen met het bijwerken van service-identiteiten oplossen
Als u de service-id wijzigt, wordt een reeks gebeurtenissen gestart die het opnieuw opstarten van de service omvatten, de versleutelingssleutel met wachtwoordbeveiliging bijwerken, URL-reserveringen bijwerken en de verbindingsgegevens van de rapportserverdatabase bijwerken als u het serviceaccount gebruikt om verbinding te maken met de rapportserverdatabase. U kunt de status van deze gebeurtenissen controleren door de meldingen onder aan de pagina weer te geven in het deelvenster Resultaten. Als er fouten optreden tijdens dit proces, kunt u deze proberen op te lossen met behulp van de volgende technieken:
Als de symmetrische sleutel niet kan worden hersteld, kunt u deze handmatig herstellen met behulp van Herstellen op de pagina Versleutelingssleutels. Als dat niet werkt, kunt u overwegen om de versleutelde inhoud te verwijderen. U moet verbindingsgegevens en abonnementen voor gegevensbronnen opnieuw maken, maar de rest van uw inhoud is nog steeds beschikbaar. Zie Back-up maken en herstellen van SSRS-versleutelingssleutels (SQL Server Reporting Services) voor meer informatie.
Als de service niet start, start u deze handmatig opnieuw met behulp van de Services-consoletoepassing in Administrator Tools.
Er kunnen URL-reserveringsfouten optreden wanneer u het serviceaccount bijwerkt. Elke URL-reservering bevat een beveiligingsdescriptor die een Discretionary Access Control List (DACL) bevat die toestemming verleent aan het serviceaccount om aanvragen op de URL te accepteren. Wanneer u het account bijwerkt, moet de URL opnieuw worden gemaakt om de DACL bij te werken met de nieuwe accountgegevens. Als de URL-reservering niet opnieuw kan worden gemaakt en u weet dat het account geldig is, start u de computer opnieuw op. Als de fout zich blijft voordoen, probeert u een ander account te gebruiken.