Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
gäller för:
SQL Server 2016 (13.x) Reporting Services och senare Power BI-rapportserver
Reporting Services implementeras som en enda tjänst som innehåller en rapportserverwebbtjänst, webbportal och ett bakgrundsbearbetningsprogram som används för schemalagd rapportbearbetning och prenumerationsleverans. I den här artikeln förklaras hur tjänstkontot först konfigureras och hur du ändrar kontot eller lösenordet med hjälp av konfigurationsverktyget för Reporting Services.
Inledande konfiguration
Rapportservertjänstkontot definieras under installationen. Du kan köra tjänsten under ett domänanvändarkonto eller ett inbyggt konto, till exempel virtuellt tjänstkonto. Det finns inget standardkonto. det konto som du anger på sidan Tjänstkonton i installationsguiden blir det första kontot för rapportservertjänsten.
Viktigt!
Även om rapportserverwebbtjänsten och webbportalen är separata ASP.NET program, körs de under en enda tjänstarkitektur inom samma rapportserverprocessidentitet.
Anmärkning
Inbyggda Windows-tjänstkonton (lokal tjänst eller nätverkstjänst) stöds inte som rapportservertjänstkonton på en dator som är en domänkontrollant.
Ändra tjänstkontot
Om du vill visa och konfigurera om tjänstkontoinformation använder du alltid Reporting Services Configuration Manager. Information om tjänstidentitet lagras internt på flera platser. När du använder verktyget uppdateras alla referenser när du ändrar kontot eller lösenordet. Reporting Services Configuration Manager utför följande extra steg för att säkerställa att rapportservern förblir tillgänglig:
Lägger automatiskt till det nya kontot i rapportservergruppen som skapats på den lokala datorn. Den här gruppen anges i åtkomstkontrollistor (ACL:er) som skyddar Reporting Services-filer.
Uppdaterar automatiskt inloggningsbehörigheterna för SQL Server Database Engine-instansen som används som värd för rapportserverdatabasen. Det nya kontot läggs till i RSExecRole.
Databasinloggningen för det gamla kontot tas inte bort automatiskt. Se till att ta bort konton som inte längre används. Mer information finns i Administrera en rapportserverdatabas (inbyggt SSRS-läge).
Att bevilja databasbehörighet till ett nytt tjänstkonto sker bara om du konfigurerade rapportserverns databasanslutning för att använda tjänstkontot från början. Om du har konfigurerat rapportserverns databasanslutning till att använda ett domänanvändarkonto eller en SQL Server-databasinloggning påverkar inte uppdateringen av tjänstkontot anslutningsinformationen.
Uppdaterar automatiskt krypteringsnyckeln så att den innehåller profilinformationen för det nya kontot.
Anmärkning
Om rapportservern ingår i utskalningsdistributionen påverkas endast den rapportserver som du uppdaterar. Krypteringsnycklarna för andra rapportservrar i distributionen påverkas inte av ändringen av tjänstkontot.
Konfigurera rapportservertjänstkontot
Starta Reporting Services Configuration Manager och anslut till rapportservern.
På sidan Tjänstkonto väljer du det alternativ som beskriver vilken typ av konto du vill använda.
Om du har valt ett Windows-användarkonto anger du det nya kontot och lösenordet. Kontot får inte innehålla fler än 20 tecken och får inte innehålla specialtecken
" / \ [ ] : ; | = , + * ? < > 'per namngivningsregler för Windows-användarkonton.Om du distribuerar rapportservern i ett nätverk som stöder Kerberos-autentisering måste du registrera rapportserverns tjänsthuvudnamn (SPN) med det domänanvändarkonto som du angav. Mer information finns i Registrera ett tjänsthuvudnamn (SPN) för en rapportserver.
Välj Använd.
När du uppmanas att säkerhetskopiera den symmetriska nyckeln anger du ett filnamn och en plats för den symmetriska nyckelsäkerhetskopian. Ange ett lösenord för att låsa och låsa upp filen och välj sedan OK.
Om rapportservern använder tjänstkontot för att ansluta till rapportserverdatabasen uppdateras anslutningsinformationen för att använda det nya kontot eller lösenordet. För att uppdatera anslutningsinformationen måste du ansluta till databasen. Om dialogrutan SQL Server Database-anslutning visas anger du autentiseringsuppgifter som har behörighet att ansluta till databasen och väljer sedan OK.
När du uppmanas att återställa den symmetriska nyckeln anger du lösenordet som du angav i steg 5 och väljer sedan OK.
Kontrollera att alla uppgifter har slutförts genom att granska statusmeddelandena i fönstret Resultat.
Välj ett konto
För bästa resultat anger du ett konto som har nätverksanslutningsbehörigheter, med åtkomst till nätverksdomänkontrollanter och SMTP-servrar (Simple Mail Transfer Protocol) eller gatewayer. Följande tabell sammanfattar kontona och ger rekommendationer för hur du använder dem.
Anmärkning
Översikt över grupphanterade tjänstkonton stöds inte som ett rapportservertjänstkonto.
| Konto | Förklaring |
|---|---|
| Domänanvändarkonton | Om du har ett Windows-domänanvändarkonto som har de minsta behörigheter som krävs för rapportserveråtgärder bör du använda det. Du bör använda ett domänanvändarkonto eftersom det isolerar rapportservertjänsten från andra program. Om du kör flera program under ett delat konto, till exempel Nätverkstjänst, ökar du risken för att en obehörig användare tar kontroll över rapportservern. En säkerhetsöverträdelse för ett program kan enkelt utökas till alla program som körs under samma konto. Om du använder ett domänanvändarkonto måste du ändra lösenordet regelbundet om din organisation tillämpar en princip för lösenordsförfallotid. Du kan också behöva registrera tjänsten med användarkontot. Mer information finns i Registrera ett tjänsthuvudnamn (SPN) för en rapportserver. Undvik lokala Windows-användarkonton. Lokala konton har vanligtvis inte tillräcklig behörighet för att komma åt resurser på andra datorer. Mer information om hur lokala konton begränsar rapportserverfunktioner finns i Överväganden för att använda lokala konton. |
| Konto för virtuell tjänst | Virtuellt tjänstkonto representerar Windows-tjänsten . Det är ett inbyggt konto med minst behörighet som har behörighet för nätverksinloggning. Du bör använda det här kontot om du inte har något tillgängligt domänanvändarkonto eller om du vill undvika tjänststörningar som kan uppstå till följd av principer för lösenords giltighetstid. |
| Nätverkstjänst |
Nätverkstjänsten är ett inbyggt konto med minst behörighet som har behörighet för nätverksinloggning. Om du väljer Nätverkstjänst kan du försöka minimera antalet andra tjänster som körs under samma konto. Ett säkerhetsintrång för ett program äventyrar säkerheten för alla andra program som körs under samma konto. |
| lokal tjänst | Lokal tjänst är ett inbyggt konto som liknar ett autentiserat lokalt Windows-användarkonto. Tjänster som körs som lokalt tjänstkonto får åtkomst till nätverksresurser som en null-session utan autentiseringsuppgifter. Det här kontot är inte lämpligt för distributionsscenarier för intranät där rapportservern måste ansluta till en fjärrrapportserverdatabas eller en nätverksdomänkontrollant för att autentisera en användare innan en rapport öppnas eller en prenumeration bearbetas. |
| Lokalt system | Lokalt system är ett konto med hög behörighet som inte krävs för att köra en rapportserver. Undvik det här kontot för rapportserverinstallationer. Välj ett domänkonto eller en nätverkstjänst i stället. |
Överväganden för lokala konton
Det viktigaste för lokala konton är om rapportservern kräver åtkomst till fjärrdatabasservrar, e-postservrar och domänkontrollanter. Om du konfigurerar rapportservern så att den körs som ett lokalt Windows-användarkonto, lokal tjänst eller lokalt system, introducerar du överväganden som måste beaktas i hur du anger andra konfigurationsinställningar. När prenumerationen skapas och levereras måste du också tänka på följande:
Om du kör tjänsten under ett lokalt konto begränsas alternativen senare om du konfigurerar en anslutning till en fjärrrapportserverdatabas. Om du använder en fjärrrapportserverdatabas måste du konfigurera anslutningen så att den använder ett domänanvändarkonto eller en SQL Server-databasanvändare som har behörighet att logga in på sql server-fjärrinstansen.
När du kör tjänsten under ett lokalt konto införs nya krav när prenumerationen skapas. Rapportservern lagrar information om den användare som skapar prenumerationen. Om användaren skapar prenumerationen när den är inloggad under ett domänkonto försöker rapportservertjänsten ansluta till en domänkontrollant för att autentisera användaren när prenumerationen bearbetas. Om tjänsten körs under ett lokalt konto misslyckas autentiseringsbegäran när rapportservern försöker skicka begäran till en fjärrdomänkontrollant. Om du vill kringgå den här begränsningen kan du använda ett anpassat formulärbaserat autentiseringstillägg eller låta alla användare ansluta till en rapportserver under ett lokalt användarkonto.
Om du kör tjänsten under ett lokalt konto införs nya krav för prenumerationsleverans. Vissa leveranstillägg har användarkontoinformation i prenumerationsdefinitionen. Om du skickar rapporter till e-postadresser som baseras på domänanvändarkonton och kör rapportservertjänsten under ett lokalt konto, kan den inte komma åt en fjärrdomänkontrollant för att matcha mål-e-postkontot.
Inbyggda Windows-tjänstkonton (lokal tjänst eller nätverkstjänst) stöds inte som rapportservertjänstkonton på en dator som är en domänkontrollant.
Mer information om hur du bestämmer dig för en metod som passar bäst för distributionen finns i Konfigurera Windows-tjänstkonton och -behörigheter.
Uppdatera ett lösenord som har upphört att gälla
Om rapportservertjänsten körs under ett domänkonto och lösenordet upphör att gälla innan du kan uppdatera det i Rapportserverkonfigurationshanteraren startar inte tjänsten förrän du anger ett nytt lösenord.
Om lösenordet för tjänstkontot för databasmotorn upphör att gälla uppstår felet rsReportServerDatabaseUnavailable när du försöker ansluta till rapportservern. Återställning av lösenordet löser det här felet.
Felsöka uppdateringsfel för tjänstidentitet
Om du ändrar tjänstidentiteten initieras en serie händelser som omfattar omstart av tjänsten, uppdatering av den lösenordsskyddade krypteringsnyckeln, uppdatering av URL-reservationer och uppdatering av anslutningsinformationen för rapportserverdatabasen om du använder tjänstkontot för att ansluta till rapportserverdatabasen. Du kan övervaka statusen för dessa händelser genom att visa meddelandena i resultatpanelen längst ned på sidan. Om fel uppstår under den här processen kan du försöka lösa dem med hjälp av följande tekniker:
Om den symmetriska nyckeln inte kan återställas kan du försöka återställa den manuellt med hjälp av Återställ på sidan Krypteringsnycklar. Om det inte fungerar kan du överväga att ta bort det krypterade innehållet. Du måste återskapa anslutningsinformation och prenumerationer för datakällan, men resten av innehållet är fortfarande tillgängligt. Mer information finns i Säkerhetskopiera och återställa krypteringsnycklar för SQL Server Reporting Services (SSRS).
Om tjänsten inte startar startar du om den manuellt med hjälp av tjänstkonsolprogrammet i Administratörsverktyg.
Url-reservationsfel kan inträffa när du uppdaterar tjänstkontot. Varje URL-reservation innehåller en säkerhetsbeskrivning som innehåller en DACL (Discretionary Access Control List) som ger behörighet till tjänstkontot att acceptera begäranden på URL:en. När du uppdaterar kontot måste URL:en återskapas för att uppdatera DACL med den nya kontoinformationen. Om URL-reservationen inte kan återskapas och du vet att kontot är giltigt kan du försöka starta om datorn. Om felet kvarstår kan du försöka använda ett annat konto.