Настройка учетной записи службы сервера отчетов (диспетчер конфигурации сервера отчетов) Configure the Report Server Service Account (Report Server Configuration Manager)

Службы Reporting Services Reporting Services реализован в виде единой службы, состоящей из веб-службы сервера отчетов, веб-портал web portal и приложения фоновой обработки, которое предназначено для запланированной обработки отчетов и доставки подписки. is implemented as a single service that contains a Report Server Web service, веб-портал web portal , and a background processing application that is used for scheduled report processing and subscription delivery. В этом разделе описан процесс начальной настройки учетной записи службы, а также изменения учетной записи или пароля при помощи программы настройки служб Reporting Services. This topic explains how the service account is initially configured and how to modify the account or password using the Reporting Services Configuration tool.

Первоначальная конфигурация Initial Configuration

Задание учетной записи службы сервера отчетов производится во время установки. The Report Server service account is defined during Setup. Служба может быть запущена как от учетной записи пользователя домена, так и от встроенной учетной записи вроде учетной записи виртуальной службы. You can run the service under a domain user account, or a built-in account such as Virtual Service Account. Учетной записи по умолчанию не существует. Начальной учетной записью сервера отчетов будет та, которая была указана на странице Учетные записи службы мастера установки. There’s no default account; whatever account you specify in the Service Accounts page of the Installation Wizard becomes the initial account of the Report Server service.

Хотя веб-служба сервера отчетов и веб-портал web portal являются отдельными приложениями ASP.NET ASP.NET , они выполняются в единой архитектуре служб с одним и тем же удостоверением процесса сервера отчетов. Although the Report Server Web service and веб-портал web portal are separate ASP.NET ASP.NET applications, they run under a single service architecture within the same Report Server process identity.

Встроенные учетные записи служб Windows (Local Service или Network Service) не поддерживаются в качестве учетных записей служб для сервера отчетов на компьютере, который является контроллером домена. Built-in Windows service accounts (Local Service or Network Service) are not supported as report server service accounts on a computer that is a domain controller.

Смена учетной записи службы Changing the Service Account

Для просмотра и изменения реквизитов учетной записи службы всегда используйте программу настройки диспетчера конфигураций Службы Reporting Services Reporting Services . To view and reconfigure service account information, always use the Службы Reporting Services Reporting Services Configuration Manager. Сведения об удостоверении службы внутренне сохраняется в нескольких разных местах. Service identity information is stored internally in multiple locations. Использование этого средства гарантирует, что при смене учетной записи или пароля все необходимые ссылки будут соответствующим образом обновлены. Using the tool ensures that all references are updated accordingly whenever you change the account or password. Для обеспечения доступности сервера отчетов диспетчер конфигураций Службы Reporting Services Reporting Services выполняет следующие дополнительные шаги: The Службы Reporting Services Reporting Services Configuration Manager performs the following additional steps to ensure the report server remains available:

Автоматически добавляет новую учетную запись к группе сервера отчетов, созданной на локальном компьютере. Automatically adds the new account to the report server group created on the local computer. Эта группа указывается в списках управления доступом (ACL), которые обеспечивают защиту файлов служб Службы Reporting Services Reporting Services . This group is specified in the access control lists (ACLs) that secure Службы Reporting Services Reporting Services files.

Автоматически обновляет разрешения на вход в экземпляр компонента SQL Server SQL Server Компонент Database Engine Database Engine , на котором размещена база данных сервера отчетов. Automatically updates the login permissions on the SQL Server SQL Server Компонент Database Engine Database Engine instance used to host the report server database. Новая учетная запись будет добавлена к роли RSExecRole. The new account is added to the RSExecRole.

Старое имя входа в базе данных автоматически не удаляется. The database log in for the old account isn’t removed automatically. Не забывайте удалять учетные записи, которые больше не используются. Be sure to remove accounts that are no longer in use. Дополнительные сведения см. в статье Администрирование базы данных сервера отчетов (службы Reporting Services в собственном режиме). For more information, see Administer a Report Server Database (SSRS Native Mode).

Предоставление новой учетной записи службы разрешений производится только в момент первой настройки подключения к базе данных сервера отчетов. Granting database permissions to a new service account only occurs if you configured the report server database connection to use the service account in the first place. Если подключение к базе данных сервера отчетов настроено на использование учетной записи пользователя домена или учетной записи базы данных SQL Server SQL Server , то на эти настройки обновление учетной записи службы не влияет. If you configured the report server database connection to use a domain user account or a SQL Server SQL Server database login, the connection information is not affected by the service account update.

Автоматически обновляет ключ шифрования, добавляя в него сведения о профиле новой учетной записи. Automatically updates the encryption key to include the profile information of the new account.

Если сервер отчетов является частью масштабного развертывания, то изменяется только обновляемый сервер отчетов. If the report server is part of the scale-out deployment, only the report server that you are updating is affected. При изменении учетной записи сервера ключи шифрования для других серверов отчетов в развертывании не изменяются. The encryption keys for other report servers in the deployment are unaffected by the service account change.

Настройка конфигурации учетной записи службы сервера отчетов To configure the Report Server service account

Запустите диспетчер конфигурации служб Службы Reporting Services Reporting Services и подключитесь к серверу отчетов. Start the Службы Reporting Services Reporting Services Configuration manager and connect to the report server.

На странице «Учетная запись службы» выберите параметр, указывающий тип используемой учетной записи. On the Service Account page, select the option that describes the type of account you want to use.

Если выбрана учетная запись пользователя Windows, укажите новую учетную запись и пароль. If you selected a Windows user account, specify the new account and password. Длина учетной записи не может превышать 20 символов и не может содержать специальные символы » / \ [ ] : ; | = , + * ? The account can’t be more than 20 characters and can’t contain special characters » / \ [ ] : ; | = , + * ? ‘ согласно правилам именования учетных записей пользователей Windows. ‘ per Windows user account naming rules.

Если сервер отчетов развернут в сети, где поддерживается проверка подлинности по протоколу Kerberos, для указанной учетной записи пользователя домена необходимо зарегистрировать имя участника-службы (SPN) сервера отчетов. If the report server is deployed in a network that supports Kerberos authentication, you must register the report server Service Principal Name (SPN) with the domain user account you specified. Дополнительные сведения см. в статье Регистрация имени субъекта-службы (SPN) для сервера отчетов. For more information, see Register a Service Principal Name (SPN) for a Report Server.

Нажмите кнопку Применить. Click Apply.

При получении запроса на создание резервной копии симметричного ключа укажите местоположение и имя файла резервной копии симметричного ключа, введите пароль для его блокировки, а затем нажмите кнопку ОК. When prompted to back up the symmetric key, type a file name and location for the symmetric key backup, type a password to lock and unlock the file, and then click OK.

Если сервер отчетов пользуется для подключения к базе данных сервера отчетов учетной записью службы, то ее имя и пароль будут обновлены в сведениях о соединении. If the report server uses the service account to connect to the report server database, the connection information is updated to use the new account or password. Для этого потребуется соединение с базой данных. Updating the connection information requires that you connect to the database. Если откроется диалоговое окно SQL Server SQL Server Database Connection введите учетные данные, которые предоставляют права на подключение к базе данных, и щелкните OK. If the SQL Server SQL Server Database Connection dialog box appears, enter credentials that have permission to connect to the database, and then click OK.

Получив запрос на восстановление симметричного ключа, введите пароль, указанный на шаге 5, а затем нажмите кнопку ОК. When prompted to restore the symmetric key, type the password you specified in step 5, and then click OK.

Ознакомьтесь с сообщениями о состоянии на панели «Результаты», чтобы убедиться в успешном выполнении всех задач. Review the status messages in the Results pane to verify all tasks completed successfully.

Выбор учетной записи Choosing an Account

Чтобы получить наилучший результат, укажите учетную запись, обладающую разрешениями сетевого подключения и имеющую доступ к контроллерам домена, шлюзам и SMTP-серверам предприятия. For best results, specify an account that has network connection permissions, with access to network domain controllers and corporate SMTP servers or gateways. В следующей сводной таблице перечислены учетные записи и рекомендации по их использованию. The following table summarizes the accounts and provides recommendations for using them.

Учетная запись Account	Объяснение Explanation
Учетная запись пользователя домена Domain user accounts	При наличии учетной записи пользователя домена Windows, обладающей минимумом разрешений, необходимым для работы сервера отчетов, лучше пользоваться ей. If you have a Windows domain user account that has the minimum permissions required for report server operations, you should use it. Рекомендуется пользоваться учетной записью пользователя домена, поскольку она изолирует службу сервера отчетов от других приложений. A domain user account is recommended because it isolates the Report Server service from other applications. Запуск нескольких приложений от имени общей учетной записи (например, «Сетевая служба») увеличивает риск получения возможности управления над сервером отчетов, так как в случае нарушения защиты в одном из приложений злоумышленнику станут доступны все приложения, запускаемые от имени той же учетной записи. Running multiple applications under a shared account, such as Network Service, increases the risk of a malicious user taking control of the report server because a security breach for any one application can easily extend to all applications that run under the same account. При использовании учетной записи пользователя домена придется периодически менять пароль, если в организации действует политика истечения срока действия паролей. If you use a domain user account, you have to change the password periodically if your organization enforces a password expiration policy. Может также потребоваться регистрация службы под учетной записью пользователя. You might also need to register the service with the user account. Дополнительные сведения см. в статье Регистрация имени субъекта-службы (SPN) для сервера отчетов. For more information, see Register a Service Principal Name (SPN) for a Report Server. Избегайте применения учетных записей локальных пользователей Windows. Avoid using a local Windows user account. Как правило, они не предоставляют разрешений, необходимых для доступа к ресурсам на других компьютерах. Local accounts typically don’t have sufficient permission to access resources on other computers. Дополнительные сведения о том, каким образом применение локальных учетных записей ограничивает функции сервера отчетов, см. в подразделе Вопросы применения учетных записей локальных пользователей далее в этом разделе. For more information about how using a local account limits report server functionality, see Considerations for Using Local Accounts in this topic.
Групповая управляемая учетная запись службы (gMSA) Group Managed Service Account (gMSA)	Автономные управляемые учетные записи служб впервые появились в Windows Server 2008 R2 и Windows 7. Standalone Managed Service Accounts were introduced in Windows Server 2008 R2 and Windows 7. Они являются управляемыми учетными записями в домене, которые обеспечивают автоматическое управление паролями и упрощенное управление именами участников служб, включая делегирование управления другим администраторам. They’re managed domain accounts that provide automatic password management and simplified SPN management, including delegation of management to other administrators. Групповая управляемая учетная запись службы предоставляет те же функциональные возможности в домене, но расширяет эту функциональность на несколько серверов. The Group Managed Service Account provides the same functionality within the domain but also extends that functionality over multiple servers.
Учетная запись виртуальной службы Virtual Service Account	Учетная запись виртуальной службы представляет службу Windows. Virtual Service Account represents the windows service. Это встроенная учетная запись, обладающая наименьшими правами доступа, которая имеет разрешение на вход в сеть. It is a built-in least-privilege account that has network log on permissions. Использование этой учетной записи рекомендуется в случае отсутствия учетной записи пользователя домена, если желательно избежать перерывов в обслуживании, вызванных применением политики истечения срока действия паролей. This account is recommended if you don’t have a domain user account available or if you want to avoid any service disruptions that might occur as a result of password expiration policies.
Сетевая служба. Network Service	Сетевая служба — это встроенная учетная запись, обладающая наименьшими правами доступа, которая имеет разрешение на вход в сеть. Network Service is a built-in least-privilege account that has network log on permissions. Выбрав учетную запись Сетевая служба, постарайтесь уменьшить число других запускаемых от нее служб. If you select Network Service, try to minimize the number of other services that run under the same account. Нарушение защиты одного из приложений приведет к компрометации всех остальных приложений, запускаемых от имени той же учетной записи. A security breach for any one application compromises the security of all other applications that run under the same account.
Локальная служба. Local Service	Локальная служба — это встроенная учетная запись, похожая на учетную запись локального пользователя Windows, прошедшего проверку подлинности. Local Service is a built-in account that is like an authenticated local Windows user account. Службы, запущенные с учетной записью Локальная служба , получают доступ к сетевым ресурсам в форме неопределенного сеанса без учетных данных. Services that run as the Local Service account access network resources as a null session with no credentials. Эта учетная запись не подходит для развертывания в интрасети, когда сервер отчетов перед открытием отчета и обработкой подписки производит соединение со своей базой данных и контроллером домена, чтобы выполнить проверку подлинности пользователя. This account is not appropriate for intranet deployment scenarios where the report server must connect to a remote report server database or a network domain controller to authenticate a user prior to opening a report or processing a subscription.
Локальная система Local System	Локальная система — это учетная запись с широким набором прав доступа, которые не нужны для запуска сервера отчетов. Local System is a highly privileged account that is not required for running a report server. Избегайте использования данной учетной записи при установках сервера отчетов. Avoid this account for report server installations. Лучше вместо нее использовать учетную запись Сетевая служба . Choose a domain account or Network Service instead.

Вопросы применения учетных записей локальных пользователей Considerations for Using Local Accounts

Использование локальных учетных записей главным образом обосновано в тех случаях, когда серверу отчетов требуется доступ к удаленным серверам баз данных, почтовым серверам и контроллеру домена. The primary consideration for using local accounts is whether the report server requires access to remote database servers, mail servers, and domain controllers. Если сервер отчетов настроен для запуска от имени учетной записи локального пользователя Windows, «Локальная служба» или «Локальная система», следует исходить в первую очередь из установки других параметров настройки, а также методов создания и доставки подписки. If you configure the report server to run as a local Windows user account, Local Service, or Local System, you introduce considerations that must be factored into how you set other configuration settings, and on subscription creation and delivery:

Запуск службы от имени локальной учетной записи может привести к ограничению параметров настройки позже, во время установления соединения с удаленной базой данных сервера отчетов. Running the service under a local account does limit your options later if you configure a connection to a remote report server database. В частности, если используется удаленная база данных сервера отчетов, для настройки подключения будет необходимо использовать учетную запись пользователя домена или пользователя базы данных SQL Server SQL Server , которая обладает разрешением на подключение к удаленному экземпляру SQL Server SQL Server . Specifically, if you are using a remote report server database, you have to configure the connection to use a domain user account or SQL Server SQL Server database user that has permission to sign in the remote SQL Server SQL Server instance.

Работа службы под локальной учетной записью накладывает новые требования на создание подписок. Running the service under a local account introduces new requirements on subscription creation. Сервер отчетов хранит сведения о пользователе, который создал подписку. The report server stores information about the user who creates the subscription. Если пользователь создает подписку во время того, как он подключен под учетной записью домена, то служба сервера отчетов будет пытаться подключиться к контроллеру домена для проверки подлинности пользователя при обработке подписки. If the user creates the subscription while logged on under a domain account, the Report Server service tries to connect to a domain controller to authenticate the user when the subscription is processed. Если служба запущена от имени локальной учетной записи, то запрос проверки подлинности окажется неуспешным при попытке сервера отчета отправить запрос на удаленный контроллер домена. If the service runs under a local account, the authentication request fails when the report server tries to send the request to a remote domain controller. Чтобы обойти это ограничение, можно использовать модуль проверки подлинности на основе пользовательских форм или подключить всех пользователей к серверу отчета под локальной учетной записью пользователя. To work around this limitation, you can use a custom forms-based authentication extension or have all users connect to a report server under a local user account.

Работа службы под локальной учетной записью накладывает новые требования на доставку подписок. Running the service under a local account introduces new requirements for subscription delivery. Некоторые модули доставки имеют сведения об учетных записях пользователя в определении подписок. Some delivery extensions have user account information in the subscription definition. Если служба сервера отчетов запущена от имени локальной учетной записи, при отправке отчета по адресам электронной почты, основанным на учетных записях пользователей домена, служба сервера отчетов не может получить доступ к удаленному контроллеру домена и найти целевую учетную запись электронной почты. If you are sending reports to e-mail addresses that are based on domain user accounts and you run the Report Server service under a local account, it can’t access a remote domain controller to resolve the target e-mail account.

Встроенные учетные записи служб Windows (Local Service или Network Service) не поддерживаются в качестве учетных записей служб для сервера отчетов на компьютере, который является контроллером домена. Built-in Windows service accounts (Local Service or Network Service) are not supported as report server service accounts on a computer that is a domain controller.

Следующие правила и ссылки в этом разделе помогут выбрать наилучший подход при развертывании. The following guidelines and links in this section can help you decide on an approach that is best for your deployment.

Обновление пароля с истекшим сроком действия Updating an Expired Password

Если служба сервера отчетов запущена от имени учетной записи домена и срок действия пароля истек до его обновления в диспетчере конфигураций сервера отчетов, служба не будет запускаться до тех пор, пока не будет задан новый пароль. If the Report Server service runs under a domain account and the password expires before you can update it in the Report Server Configuration Manager, the service doesn’t start until you specify a new password.

Если срок действия пароля учетной записи службы для компонента Компонент Database Engine Database Engine истек, то при попытке подключиться к серверу отчетов возникает ошибка rsReportServerDatabaseUnavailable . If the service account password for the Компонент Database Engine Database Engine expires, the rsReportServerDatabaseUnavailable error occurs when you try to connect to the report server. Эта ошибка устраняется с помощью сброса пароля. Resetting the password resolves this error.

Устранение неполадок, возникающих при обновлении учетных данных службы Troubleshooting Service Identity Update Errors

Внесение изменений в удостоверение службы приводит к возникновению ряда событий, которые включают перезапуск службы, обновление защищенного паролем ключа шифрования, резервирования URL-адресов и сведений о соединении, если учетная запись службы предназначена для подключения к базе данных сервера отчетов. Changing the service identity initiates a series of events that include restarting the service, updating the password-protected encryption key, updating URL reservations, and updating the report server database connection information if you’re using the service account to connect to the report server database. Состояние этих событий отражается в виде уведомлений на панели «Результаты» в нижней части страницы. You can monitor the status of these events by viewing the notifications in the Results panel at the bottom of the page. Если в процессе работы возникли ошибки, то можно попробовать устранить их следующими методами. If errors occur during this process, you can try to resolve them using the following techniques:

Если не удалось восстановить симметричный ключ, можно предпринять попытку восстановить его вручную при помощи кнопки Восстановить на странице «Ключи шифрования». If the symmetric key can’t be restored, you can try to restore it manually by using Restore in the Encryption Keys page. Если сделать это не удается, рассмотрите возможность удаления зашифрованного содержимого. If that doesn’t work, consider deleting the encrypted content. При этом придется повторно создать подписки и сведения о соединении с источником данных, но остальная часть содержимого останется доступной. You have to re-create data source connection information and subscriptions, but the rest of your content still is available. Дополнительные сведения см. в разделе Резервное копирование и восстановление ключей шифрования служб Reporting Services. For more information, see Back Up and Restore Reporting Services Encryption Keys.

Если служба не запустилась, запустите ее вручную при помощи оснастки «Службы» в разделе «Администрирование». If the service doesn’t start, restart it manually by using the Services console application in Administrator Tools.

При обновлении учетной записи службы могут возникнуть ошибки резервирования URL-адресов. URL reservation errors can occur when you update the service account. Каждое резервирование URL-адресов предусматривает создание дескриптора безопасности, который включает список разграничительного управления доступа DACL, который предоставляет учетной записи службы разрешение на прием запросов по данному URL-адресу. Each URL reservation includes a security descriptor that includes a Discretionary Access Control List (DACL) that grants permission to the service account to accept requests on the URL. После обновления учетной записи URL-адрес должен быть создан повторно, чтобы обновить список DACL на основе новых сведений об учетной записи. When you update the account, the URL must be recreated to update the DACL with the new account information. Если резервирование URL-адресов не может быть выполнено повторно, но известно, что учетная запись является действительной, то можно попробовать перезапустить компьютер. If the URL reservation can’t be recreated, and you know the account to be valid, try to restart the computer. Если после этого ошибка не исчезла, попробуйте воспользоваться другой учетной записью. If the error persists, try to use a different account.