Mengonfigurasi Autentikasi Windows pada Server Laporan

Secara default, Reporting Services menerima permintaan yang menentukan autentikasi Negosiasi atau NTLM. Jika penyebaran Anda menyertakan aplikasi klien dan browser yang menggunakan penyedia keamanan ini, Anda dapat menggunakan nilai default tanpa konfigurasi tambahan. Jika Anda ingin menggunakan penyedia keamanan yang berbeda untuk keamanan terintegrasi Windows (misalnya, jika Anda ingin menggunakan Kerberos secara langsung), atau jika Anda memodifikasi nilai default dan ingin memulihkan pengaturan asli, Anda dapat menggunakan informasi dalam topik ini untuk menentukan pengaturan autentikasi pada server laporan.

Untuk menggunakan keamanan terintegrasi Windows, setiap pengguna yang memerlukan akses ke server laporan harus memiliki akun pengguna lokal atau domain Windows yang valid atau menjadi anggota akun lokal atau grup domain Windows. Anda dapat menyertakan akun dari domain lain selama domain tersebut tepercaya. Akun harus memiliki akses ke komputer server laporan, dan kemudian harus ditetapkan ke peran untuk mendapatkan akses ke operasi server laporan tertentu.

Persyaratan tambahan berikut juga harus dipenuhi:

• File RSReportServer.config harus memiliki AuthenticationType yang diatur ke RSWindowsNegotiate, RSWindowsKerberos, atau RSWindowsNTLM. Secara default, file RSReportServer.config menyertakan pengaturan RSWindowsNegotiate jika akun layanan Server Laporan adalah NetworkService atau LocalSystem; jika tidak, pengaturan RSWindowsNTLM digunakan. Anda dapat menambahkan RSWindowsKerberos jika Anda memiliki aplikasi yang hanya menggunakan autentikasi Kerberos.

  Penting

  Menggunakan RSWindowsNegotiate akan mengakibatkan kesalahan autentikasi Kerberos jika Anda mengonfigurasi layanan Server Laporan untuk dijalankan di bawah akun pengguna domain dan Anda tidak mendaftarkan Nama Prinsipal Layanan (SPN) untuk akun tersebut. Untuk informasi selengkapnya, lihat Mengatasi Kesalahan Autentikasi Kerberos Saat Menyambungkan ke server laporan dalam topik ini.

• ASP.NET harus dikonfigurasi untuk Autentikasi Windows. Secara default, file Web.config untuk layanan Web Server Laporan menyertakan <pengaturan mode autentikasi="Windows"> . Jika Anda mengubahnya menjadi <mode autentikasi="Formulir">, Autentikasi Windows untuk Layanan Pelaporan akan gagal.

• File Web.config untuk layanan Web Server Laporan harus memiliki <identitas yang meniru= "true" />.

• Aplikasi atau browser klien harus mendukung keamanan terintegrasi Windows.

• Portal web tidak memerlukan konfigurasi tambahan.

Untuk mengubah pengaturan autentikasi server laporan, edit elemen dan nilai XML dalam file RSReportServer.config. Anda dapat menyalin dan menempelkan contoh dalam topik ini untuk mengimplementasikan kombinasi tertentu.

Pengaturan default berfungsi paling baik jika semua komputer klien dan server berada di domain yang sama atau di domain tepercaya dan server laporan disebarkan untuk akses intranet di belakang firewall perusahaan. Domain tepercaya dan tunggal adalah persyaratan untuk meneruskan kredensial Windows. Kredensial dapat diteruskan lebih dari satu kali jika Anda mengaktifkan protokol Kerberos versi 5 untuk server Anda. Jika tidak, kredensial hanya dapat diteruskan satu kali sebelum kedaluwarsa. Untuk informasi selengkapnya tentang mengonfigurasi kredensial untuk beberapa koneksi komputer, lihat Menentukan Informasi Kredensial dan Koneksi untuk Sumber Data Laporan.

Instruksi berikut ditujukan untuk server laporan mode asli. Jika server laporan disebarkan dalam mode terintegrasi SharePoint, Anda harus menggunakan pengaturan autentikasi default yang menentukan keamanan terintegrasi Windows. Server laporan menggunakan fitur internal dalam ekstensi Autentikasi Windows default untuk mendukung server laporan dalam mode terintegrasi SharePoint.

Perlindungan diperpanjang untuk Autentikasi

Dimulai dengan SQL Server 2008 R2, dukungan untuk Perlindungan Diperpanjang untuk Autentikasi tersedia. Fitur SQL Server mendukung penggunaan pengikatan saluran dan pengikatan layanan untuk meningkatkan perlindungan autentikasi. Fitur Reporting Services perlu digunakan dengan sistem operasi yang mendukung Extended Protection. Konfigurasi Reporting Services untuk perlindungan yang diperluas ditentukan oleh pengaturan dalam file RSReportServer.config. File dapat diperbarui dengan mengedit file atau menggunakan API WMI. Untuk informasi selengkapnya, lihat Perlindungan yang Diperluas untuk Autentikasi dengan Reporting Services.

Untuk mengonfigurasi server laporan untuk menggunakan keamanan terintegrasi Windows

1. Buka RSReportServer.config di editor teks.

2. Temukan <Autentikasi>.

3. Salin salah satu struktur XML berikut yang paling sesuai dengan kebutuhan Anda. Anda dapat menentukan RSWindowsNegotiate, RSWindowsNTLM, dan RSWindowsKerberos dalam urutan apa pun. Anda harus mengaktifkan persistensi autentikasi jika Anda ingin mengautentikasi koneksi daripada setiap permintaan individual. Di bawah persistensi autentikasi, semua permintaan yang memerlukan autentikasi akan diizinkan selama durasi koneksi.

   Struktur XML pertama adalah konfigurasi default ketika akun layanan Server Laporan adalah NetworkService atau LocalSystem:

   <Authentication>  
         <AuthenticationTypes>  
                <RSWindowsNegotiate />  
         </AuthenticationTypes>  
         <EnableAuthPersistence>true</EnableAuthPersistence>  
   </Authentication>  
   

   Struktur XML kedua adalah konfigurasi default ketika akun layanan Server Laporan bukan NetworkService atau LocalSystem:

   <Authentication>  
         <AuthenticationTypes>  
                <RSWindowsNTLM />  
         </AuthenticationTypes>  
         <EnableAuthPersistence>true</EnableAuthPersistence>
   </Authentication>
   

   Struktur XML ketiga menentukan semua paket keamanan yang digunakan dalam keamanan terintegrasi Windows:

         <AuthenticationTypes>  
                <RSWindowsNegotiate />  
                <RSWindowsKerberos />  
                <RSWindowsNTLM />  
         </AuthenticationTypes>  
   

   Struktur XML keempat menentukan NTLM hanya untuk penyebaran yang tidak mendukung Kerberos atau untuk mengatasi kesalahan autentikasi Kerberos:

         <AuthenticationTypes>  
                <RSWindowsNTLM />  
         </AuthenticationTypes>  
   

4. Tempelkan di atas entri yang ada untuk <Autentikasi>.

   Perhatikan bahwa Anda tidak dapat menggunakan Kustom dengan jenis RSWindows .

5. Ubah pengaturan yang sesuai untuk perlindungan yang diperluas. Perlindungan yang diperluas dinonaktifkan secara default. Jika entri ini tidak ada, komputer saat ini mungkin tidak menjalankan versi Reporting Services yang mendukung perlindungan yang diperluas. Untuk informasi selengkapnya, lihat Perlindungan yang Diperluas untuk Autentikasi dengan Reporting Services

         <RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel>  
         <RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionScenario>  
   

6. Simpan file.

7. Jika Anda mengonfigurasi penyebaran peluasan skala, ulangi langkah-langkah ini untuk server laporan lain dalam penyebaran.

8. Mulai ulang server laporan untuk menghapus sesi apa pun yang saat ini terbuka.

Mengatasi Kesalahan Autentikasi Kerberos Saat Menyambungkan ke Server Laporan

Pada server laporan yang dikonfigurasi untuk autentikasi Negosiasi atau Kerberos, koneksi klien ke server laporan akan gagal jika ada kesalahan autentikasi Kerberos. Kesalahan autentikasi Kerberos diketahui terjadi ketika:

• Layanan Server Laporan berjalan sebagai akun pengguna domain Windows dan Anda tidak mendaftarkan Nama Prinsipal Layanan (SPN) untuk akun tersebut.

• Server laporan dikonfigurasi dengan pengaturan RSWindowsNegotiate .

• Browser memilih Kerberos daripada NTLM di header autentikasi dalam permintaan yang dikirimnya ke server laporan.

Anda dapat mendeteksi kesalahan jika Mengaktifkan pengelogan Kerberos. Gejala lain dari kesalahan adalah Anda dimintai kredensial beberapa kali lalu melihat jendela browser kosong.

Anda dapat mengonfirmasi bahwa Anda mengalami kesalahan autentikasi Kerberos dengan menghapus <RSWindowsNegotiate /> dari file konfigurasi Anda dan memasang ulang koneksi.

Setelah mengonfirmasi masalah, Anda dapat mengatasinya dengan cara berikut:

• Daftarkan SPN untuk layanan Server Laporan di bawah akun pengguna domain. Untuk informasi selengkapnya, lihat Mendaftarkan Nama Prinsipal Layanan (SPN) untuk Server Laporan.

• Ubah akun layanan untuk dijalankan di bawah akun bawaan seperti Layanan Jaringan. Akun bawaan memetakan HTTP SPN ke SPN Host, yang ditentukan saat Anda bergabung dengan komputer ke jaringan Anda. Untuk informasi selengkapnya, lihat Mengonfigurasi Akun Layanan (Manajer Konfigurasi Server Laporan).

• Gunakan NTLM. NTLM umumnya akan berfungsi dalam kasus di mana autentikasi Kerberos gagal. Untuk menggunakan NTLM, hapus RSWindowsNegotiate dari file RSReportServer.config dan verifikasi bahwa hanya RSWindowsNTLM yang ditentukan. Jika Anda memilih pendekatan ini, Anda dapat terus menggunakan akun pengguna domain untuk layanan Server Laporan meskipun Anda tidak menentukan SPN untuk itu.

Informasi pembuatan log

Ada beberapa sumber informasi pengelogan yang dapat membantu menyelesaikan masalah terkait Kerberos.

Atribut Kontrol Akun Pengguna

Tentukan apakah akun layanan Reporting Services memiliki atribut yang memadai yang ditetapkan di Direktori Aktif. Tinjau file log jejak layanan pelaporan untuk menemukan nilai yang dicatat untuk atribut UserAccountControl. Nilai yang dicatat dalam bentuk desimal. Anda perlu mengonversi nilai desimal ke formulir heksadesimal lalu menemukan nilai tersebut dalam topik MSDN yang menjelaskan Atribut Kontrol Akun Pengguna.

• Entri log pelacakan layanan pelaporan akan terlihat mirip dengan yang berikut ini:

  appdomainmanager!DefaultDomain!8f8!01/14/2010-14:42:28:: i INFO: The UserAccountControl value for the service account is 590336  
  

• Salah satu opsi untuk mengonversi nilai Nilai desimal ke bentuk heksadesimal adalah kepada kami Kalkulator Microsoft Windows. Kalkulator Windows mendukung beberapa mode yang menampilkan opsi 'Des' dan opsi 'Hex'. Pilih opsi 'Des', tempel atau ketik nilai desimal yang Anda temukan di file log lalu pilih opsi 'Hex'.

• Kemudian lihat topik Atribut User-Account-Control untuk mendapatkan atribut untuk akun layanan.

SPN Dikonfigurasi di Direktori Aktif untuk akun layanan Reporting Services.

Untuk mencatat SPN dalam file log jejak layanan Reporting Services, Anda dapat mengaktifkan fitur Perlindungan Yang Diperluas Reporting Services untuk sementara.

• Ubah file konfigurasi rsreportserver.config dengan mengatur hal berikut:

  <RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel>   
  <RSWindowsExtendedProtectionScenario>Any</RSWindowsExtendedProtectionScenario>  
  

• Mulai ulang layanan Reporting Services.

Jika Anda tidak ingin terus menggunakan Extended Protection, atur nilai konfigurasi kembali ke default dan mulai ulang akun Reporting Services Service.

<RSWindowsExtendedProtectionLevel>Off</RSWindowsExtendedProtectionLevel>  
<RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionScenario>  

Untuk informasi selengkapnya lihat, Perlindungan Diperpanjang untuk Autentikasi dengan Reporting Services

Bagaimana Browser Memilih Kerberos yang Dinegosiasikan atau NTLM yang Dinegosiasikan

Ketika Anda menggunakan Internet Explorer untuk menyambungkan ke server laporan, internet menentukan Kerberos atau NTLM yang Dinegosiasikan pada header autentikasi. NTLM digunakan alih-alih Kerberos ketika:

• Permintaan dikirim ke server laporan lokal.

• Permintaan dikirim ke alamat IP komputer server laporan daripada header host atau nama server.

• Perangkat lunak firewall memblokir port yang digunakan untuk autentikasi Kerberos.

• Sistem operasi server tertentu tidak mengaktifkan Kerberos.

• Domain ini mencakup versi lama klien Windows dan sistem operasi server yang tidak mendukung fitur autentikasi Kerberos yang dibangun ke dalam versi sistem operasi yang lebih baru.

Selain itu, Internet Explorer dapat memilih Kerberos atau NTLM yang Dinegosiasikan tergantung pada bagaimana Anda mengonfigurasi PENGATURAN URL, LAN, dan proksi.

URL Server Laporan

Jika URL menyertakan nama domain yang sepenuhnya memenuhi syarat, Internet Explorer memilih NTLM. Jika URL menentukan localhost, Internet Explorer memilih NTLM. Jika URL menentukan nama jaringan komputer, Internet Explorer memilih Negosiasi, yang akan berhasil atau gagal tergantung pada apakah SPN ada untuk akun layanan Server Laporan.

Pengaturan LAN dan Proksi pada Klien

PENGATURAN LAN dan proksi yang Anda tetapkan di Internet Explorer dapat menentukan apakah NTLM dipilih melalui Kerberos. Namun, karena pengaturan LAN dan proksi bervariasi di seluruh organisasi, tidak mungkin untuk menentukan pengaturan yang tepat yang berkontribusi pada kesalahan autentikasi Kerberos. Misalnya, organisasi Anda mungkin memberlakukan pengaturan proksi yang mengubah URL dari URL intranet menjadi URL nama domain yang sepenuhnya memenuhi syarat yang diselesaikan melalui koneksi Internet. Jika penyedia autentikasi yang berbeda digunakan untuk berbagai jenis URL, Anda mungkin menemukan bahwa beberapa koneksi berhasil ketika Anda mengharapkannya gagal.

Jika Anda mengalami kesalahan koneksi yang menurut Anda disebabkan oleh kegagalan autentikasi, Anda dapat mencoba kombinasi LAN dan pengaturan proksi yang berbeda untuk mengisolasi masalah. Di Internet Explorer, pengaturan LAN dan proksi berada pada kotak dialog Pengaturan Jaringan Area Lokal (LAN), yang Anda buka dengan mengklik pengaturan LAN pada tab Koneksidari Opsi Internet.

Sumber daya eksternal

• Untuk informasi tambahan mengenai Kerberos dan server laporan, lihat Menyebarkan Solusi Kecerdasan Bisnis Menggunakan SharePoint, Reporting Services, dan PerformancePoint Monitoring Server dengan Kerberos.

Lihat juga

Autentikasi dengan Server Laporan
Memberikan Izin Server Laporan Mode Native
File Konfigurasi RsReportServer.config
Mengonfigurasi Autentikasi Dasar di Server Laporan
Mengonfigurasi Autentikasi Kustom atau Formulir di Server Laporan
Perlindungan yang Diperluas untuk Autentikasi dengan SQL Server Reporting Services