Configurare l'autenticazione di Windows nel server di report.Configure Windows Authentication on the Report Server

Per impostazione predefinita, Reporting ServicesReporting Services accetta richieste che specificano l'autenticazione con negoziazione o NTLM.By default, Reporting ServicesReporting Services accepts requests that specify Negotiate or NTLM authentication. Se nella distribuzione sono incluse applicazioni client e browser che utilizzano tali provider di sicurezza, è possibile utilizzare i valori predefiniti senza alcuna configurazione aggiuntiva.If your deployment includes client applications and browsers that use these security providers, you can use the default values without additional configuration. Se si desidera utilizzare un provider di sicurezza diverso per la sicurezza integrata di Windows, ad esempio se si desidera utilizzare direttamente l'autenticazione Kerberos, o se i valori predefiniti sono stati modificati e si desidera ripristinare le impostazioni originali, è possibile utilizzare le informazioni contenute in questo argomento per specificare le impostazioni di autenticazione nel server di report.If you want to use a different security provider for Windows integrated security (for example, if you want to use Kerberos directly), or if you modified the default values and want to restore the original settings, you can use the information in this topic to specify authentication settings on the report server.

Per utilizzare la sicurezza integrata di Windows, ogni utente che richiede l'accesso a un server di report deve disporre di un account utente di dominio o locale di Windows valido o essere membro di un account di gruppo di dominio o locale di Windows.To use Windows integrated security, each user who requires access to a report server must have a valid Windows local or domain user account or be a member of a Windows local or domain group account. È possibile includere account di altri domini, purché tali domini siano di tipo trusted.You can include accounts from other domains as long as those domains are trusted. Per accedere a operazioni specifiche del server di report, gli account devono disporre dell'accesso al computer relativo e devono quindi essere assegnati a ruoli.The accounts must have access to the report server computer, and must be subsequently assigned to roles in order to gain access to specific report server operations.

È necessario inoltre che siano soddisfatti i seguenti requisiti aggiuntivi:The following additional requirements must also be met:

  • I file RSReportServer devono avere AuthenticationType impostato su RSWindowsNegotiate, RSWindowsKerberoso RSWindowsNTLM.The RSeportServer.config files must have AuthenticationType set to RSWindowsNegotiate, RSWindowsKerberos, or RSWindowsNTLM. Per impostazione predefinita, il file RSReportServer.config include l'impostazione RSWindowsNegotiate se l'account del servizio del server di report è NetworkService o LocalSystem; in caso contrario, viene usata l'impostazione RSWindowsNTLM .By default, the RSReportServer.config file includes the RSWindowsNegotiate setting if the Report Server service account is either NetworkService or LocalSystem; otherwise, the RSWindowsNTLM setting is used. Se sono presenti applicazioni che usano solo l'autenticazione Kerberos, è possibile aggiungere RSWindowsKerberos .You can add RSWindowsKerberos if you have applications that only use Kerberos authentication.

    Importante

    L'uso di RSWindowsNegotiate comporterà un errore di autenticazione Kerberos se il servizio del server di report è stato configurato per essere eseguito con un account utente di dominio e non è stato registrato un nome SPN per l'account.Using RSWindowsNegotiate will result in a Kerberos authentication error if you configured the Report Server service to run under a domain user account and you did not register a Service Principal Name (SPN) for the account. Per altre informazioni, vedere Risoluzione di errori di autenticazione Kerberos durante la connessione a un server di report in questo argomento.For more information, see Resolving Kerberos Authentication Errors When Connecting to a report server in this topic.

  • ASP.NETASP.NETdeve essere configurato per l'autenticazione di Windows. must be configured for Windows Authentication. Per impostazione predefinita, i file Web. config per il servizio Web ReportServer includono il <modalità di autenticazione = "Windows" > impostazione.By default, the Web.config files for the Report Server Web service include the <authentication mode="Windows"> setting. Se si modifica in <modalità di autenticazione = "Form" >, l'autenticazione di Windows per Reporting ServicesReporting Services avrà esito negativo.If you change it to <authentication mode="Forms">, the Windows Authentication for Reporting ServicesReporting Services will fail.

  • I file Web. config per il servizio Web ReportServer deve disporre <identity impersonate = "true" / >.The Web.config files for the Report Server Web service must have <identity impersonate= "true" />.

  • Nell'applicazione client o nel browser deve essere supportata la sicurezza integrata di Windows.The client application or browser must support Windows integrated security.

  • Per portale Webweb portal non è necessaria alcuna configurazione aggiuntiva.The portale Webweb portal does not need additional configuration.

    Per modificare le impostazioni di autenticazione del server di report, modificare gli elementi XML e i valori nel file RSReportServer.config.To change the report server authentication settings, edit the XML elements and values in the RSReportServer.config file. È possibile copiare e incollare gli esempi disponibili in questo argomento per implementare combinazioni specifiche.You can copy and paste the examples in this topic to implement specific combinations.

    Le impostazioni predefinite funzionano in modo ottimale se tutti i computer client e server si trovano nello stesso dominio o in un dominio di tipo trusted e se il server di report è distribuito per l'accesso Intranet attraverso un firewall aziendale.The default settings work best if all client and server computers are in the same domain or in a trusted domain and the report server is deployed for intranet access behind a corporate firewall. I domini singoli e di tipo trusted sono un requisito per il passaggio delle credenziali di Windows.Trusted and single domains are a requirement for passing Windows credentials. Le credenziali possono essere passate più volte se si abilita il protocollo Kerberos versione 5 per i server.Credentials can be passed more than one time if you enable the Kerberos version 5 protocol for your servers. In caso contrario, le credenziali possono essere passate solo una volta prima che scadano.Otherwise, credentials can be passed only one time before they expire. Per altre informazioni sulla configurazione delle credenziali per più connessioni del computer, vedere Specificare le credenziali e le informazioni sulla connessione per le origini dati del report.For more information about configuring credentials for multiple computer connections, see Specify Credential and Connection Information for Report Data Sources.

    Le istruzioni seguenti sono relative a un server di report in modalità nativa.The following instructions are intended for a native mode report server. Se il server di report è distribuito in modalità integrata SharePoint, è necessario utilizzare le impostazioni di autenticazione predefinite che specificano la sicurezza integrata di Windows.If the report server is deployed in SharePoint integrated mode, you must use the default authentication settings that specify Windows integrated security. Per supportare server di report in modalità integrata SharePoint, il server di report utilizza caratteristiche interne nell'estensione di autenticazione di Windows predefinita.The report server uses internal features in the default Windows Authentication extension to support report servers in SharePoint integrated mode.

Protezione estesa per l'autenticazioneExtended Protection for Authentication

A partire da SQL Server 2008 R2SQL Server 2008 R2, è disponibile il supporto per la protezione estesa per l'autenticazione.Beginning with SQL Server 2008 R2SQL Server 2008 R2, support for Extended Protection for Authentication is available. La caratteristica di SQL ServerSQL Server supporta l'uso del binding di canale e dell'associazione al servizio per migliorare la protezione dell'autenticazione.The SQL ServerSQL Server feature supports the use of channel binding and service binding to enhance protection of authentication. Le funzionalità di Reporting ServicesReporting Services devono essere utilizzate con un sistema operativo che supporti la protezione estesa.The Reporting ServicesReporting Services features need to be used with an operating system that supports Extended Protection. Reporting ServicesReporting Servicesconfigurazione per la protezione estesa è determinata dalle impostazioni nel file RSReportServer. config. configuration for extended protection is determined by settings in the RSReportServer.config file. È possibile aggiornare il file modificandolo o utilizzando le API di WMI.The file can be updated by either editing the file or using WMI APIs. Per altre informazioni, vedere Protezione estesa per l'autenticazione con Reporting Services.For more information, see Extended Protection for Authentication with Reporting Services.

Per configurare un server di report per l'utilizzo della sicurezza integrata di WindowsTo configure a report server to use Windows integrated security

  1. Aprire RSReportServer.config in un editor di testo.Open RSReportServer.config in a text editor.

  2. Trovare < autenticazione>.Find <Authentication>.

  3. Tra le strutture XML seguenti, copiare quella che corrisponde meglio alle proprie esigenze.Copy one of the following XML structures that best fits your needs. È possibile specificare RSWindowsNegotiate, RSWindowsNTLMe RSWindowsKerberos in qualsiasi ordine.You can specify RSWindowsNegotiate, RSWindowsNTLM, and RSWindowsKerberos in any order. Se si desidera autenticare la connessione anziché ogni singola richiesta, è necessario abilitare la persistenza dell'autenticazioneYou should enable authentication persistence if you want to authenticate the connection rather than each individual request. in modo che tutte le richieste per cui è necessaria l'autenticazione verranno consentite per la durata della connessione.Under authentication persistence, all requests that require authentication will be allowed for the duration of the connection.

    La prima struttura XML è la configurazione predefinita quando l'account del servizio del server di report è NetworkService o LocalSystem:The first XML structure is the default configuration when the Report Server service account is either NetworkService or LocalSystem:

    <Authentication>  
          <AuthenticationTypes>  
                 <RSWindowsNegotiate />  
          </AuthenticationTypes>  
          <EnableAuthPersistence>true</EnableAuthPersistence>  
    </Authentication>  
    

    La seconda struttura XML è la configurazione predefinita quando l'account del servizio del server di report non è NetworkService o LocalSystem:The second XML structure is the default configuration when the Report Server service account is not NetworkService or LocalSystem:

    <Authentication>  
          <AuthenticationTypes>  
                 <RSWindowsNTLM />  
          </AuthenticationTypes>  
          <EnableAuthPersistence>true</EnableAuthPersistence>  
    

    </ Autenticazione ></Authentication>

    La terza struttura XML specifica tutti i pacchetti di sicurezza utilizzati nella sicurezza integrata di Windows:The third XML structure specifies all of the security packages that are used in Windows integrated security:

          <AuthenticationTypes>  
                 <RSWindowsNegotiate />  
                 <RSWindowsKerberos />  
                 <RSWindowsNTLM />  
          </AuthenticationTypes>  
    

    La quarta struttura XML specifica l'autenticazione NTLM solo per distribuzioni che non supportano l'autenticazione Kerberos o per risolvere errori di autenticazione Kerberos:The fourth XML structure specifies NTLM only for deployments that do not support Kerberos or to work around Kerberos authentication errors:

          <AuthenticationTypes>  
                 <RSWindowsNTLM />  
          </AuthenticationTypes>  
    
  4. Incollare la struttura sulle voci esistenti per < autenticazione>.Paste it over the existing entries for <Authentication>.

    Si noti che non è possibile usare Personalizzata con i tipi RSWindows .Note that you cannot use Custom with the RSWindows types.

  5. Modificare le impostazioni per la protezione estesa nel modo appropriato.Modify as appropriate the settings for extended protection. La protezione estesa è disabilitata per impostazione predefinita.Extended protection is disabled by default. Se queste voci non sono presenti, è possibile che sul computer corrente non sia in esecuzione una versione di Reporting ServicesReporting Services che supporta la protezione estesa.If these entries are not present, the current computer may not be running a version of Reporting ServicesReporting Services which supports extended protection. Per altre informazioni, vedere Extended Protection for Authentication with Reporting ServicesFor more information, see Extended Protection for Authentication with Reporting Services

          <RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel>  
          <RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionScenario>  
    
  6. Salvare il file.Save the file.

  7. Se è stata configurata una distribuzione con scalabilità orizzontale, ripetere questi passaggi per gli altri server di report presenti nella distribuzione.If you configured a scale-out deployment, repeat these steps for other report servers in the deployment.

  8. Riavviare il server di report per cancellare qualsiasi sessione attualmente aperta.Restart the report server to clear any sessions that are currently open.

Resolving Kerberos Authentication Errors When Connecting to a Report Server Resolving Kerberos Authentication Errors When Connecting to a Report Server

In un server di report configurato per l'autenticazione con negoziazione o Kerberos, se si verifica un errore di autenticazione Kerberos la connessione client al server di report avrà esito negativo.On a report server that is configured for Negotiate or Kerberos authentication, a client connection to the report server will fail if there is a Kerberos authentication error. Di seguito vengono riportate le condizioni che indicano la presenza di errori di autenticazione Kerberos:Kerberos authentication errors are known to occur when:

  • Il servizio del server di report è in esecuzione come account utente di dominio di Windows, ma non è stato registrato un nome SPN per l'account.The Report Server service runs as a Windows domain user account and you did not register a Service Principal Name (SPN) for the account.

  • Il server di report è configurato con l'impostazione RSWindowsNegotiate .The report server is configured with the RSWindowsNegotiate setting.

  • Nell'intestazione dell'autenticazione della richiesta inviata al server di report dal browser viene scelta l'autenticazione Kerberos anziché l'autenticazione NTLM.The browser chooses Kerberos over NTLM in the authentication header in the request it sends to the report server.

    È possibile rilevare l'errore se è stata abilitata la registrazione Kerberos.You can detect the error if you enabled Kerberos logging. Un altro sintomo dell'errore consiste in più richieste delle credenziali e successivamente nella visualizzazione di una finestra del browser vuota.Another symptom of the error is that you are prompted for credentials multiple times and then see an empty browser window.

    È possibile confermare che si è verificato un errore di autenticazione Kerberos, la rimozione di < RSWindowsNegotiate / > dal file di configurazione, quindi riprovare a stabilire la connessione.You can confirm that you are encountering a Kerberos authentication error by removing < RSWindowsNegotiate /> from your configuration file and reattempting the connection.

    Dopo avere confermato la presenza del problema, è possibile risolverlo nei modi seguenti:After you confirm the problem, you can address it in the following ways:

  • Registrare un nome SPN per il servizio del server di report con l'account utente di dominio.Register an SPN for the Report Server service under the domain user account. Per altre informazioni, vedere Registrazione di un nome dell'entità servizio (SPN) per un server di report.For more information, see Register a Service Principal Name (SPN) for a Report Server.

  • Modificare l'account del servizio in modo che venga eseguito con un account predefinito, ad esempio Servizio di rete.Change the service account to run under a built-in account such as Network Service. Gli account predefiniti eseguono il mapping del nome SPN HTTP al nome SPN dell'host, definito quando un computer viene collegato a una rete.Built-in accounts map HTTP SPN to the Host SPN, which is defined when you join a computer to your network. Per altre informazioni, vedere Configurare un account del servizio (Gestione configurazione SSRS).For more information, see Configure a Service Account (SSRS Configuration Manager).

  • Utilizzare NTLM,Use NTLM. che in genere funzionerà nei casi in cui l'autenticazione Kerberos ha esito negativo.NTLM will generally work in cases where Kerberos authentication fails. Per usare NTLM, rimuovere RSWindowsNegotiate dal file RSReportServer.config e verificare che sia specificato solo RSWindowsNTLM .To use NTLM, remove RSWindowsNegotiate from the RSReportServer.config file and verify that only RSWindowsNTLM is specified. Se si sceglie questo approccio, è possibile continuare a utilizzare un account utente di dominio per il servizio del server di report anche se per tale account non si definisce un nome SPN.If you choose this approach, you can continue to use a domain user account for the Report Server service even if you do not define an SPN for it.

Informazioni di registrazioneLogging information

Esistono diverse origini di informazioni di registrazione che possono consentire la risoluzione dei problemi relativi a Kerberos.There are several sources of logging information that can help resolve Kerberos related issues.

Attributo UserAccountControlUser-Account-Control Attribute

Stabilire se l'account di servizio di Reporting ServicesReporting Services dispone del set di attributi sufficiente in Active Directory.Determine if the Reporting ServicesReporting Services service account has the sufficient attribute set in Active Directory. Esaminare il file di log di traccia del servizio Reporting Services per trovare il valore registrato per l'attributo UserAccountControl.Review the reporting services service trace log file to find the value logged for the UserAccountControl attribute. Il valore registrato è in formato decimale.The value logged is in decimal form. È necessario convertire il valore decimale in formato esadecimale e trovare quindi tale valore nell'argomento MSDN in cui viene descritto l'attributo UserAccountControl.You need to convert the decimal value to hexadecimal form and then find that value in the MSDN topic describing User-Account-Control Attribute.

  • La voce del log di traccia del servizio Reporting Services sarà simile alla seguente:The reporting services service trace log entry will look similar to the following:

    appdomainmanager!DefaultDomain!8f8!01/14/2010-14:42:28:: i INFO: The UserAccountControl value for the service account is 590336  
    
  • Un'opzione per la conversione del valore decimale in formato esadecimale è rappresentata dalla Calcolatrice di MicrosoftMicrosoft Windows.One option for converting the value Decimal value to hexadecimal form is to us the MicrosoftMicrosoft Windows Calculator. Tale calcolatrice supporta diverse modalità che includono le opzioni "Dec" ed "Hex".Windows Calculator supports several modes that show the 'Dec' option and 'Hex' options. Selezionare l'opzione "Dec", incollare o digitare il valore decimale nel file di log, quindi selezionare l'opzione "Hex".Select the 'Dec' option, paste or type in the decimal value you found in the log file and then select the 'Hex' option.

  • Fare quindi riferimento all'argomento User-Account-Control Attribute (Attributo UserAccountControl) per derivare l'attributo per l'account di servizio.Then refer to the topic User-Account-Control Attribute to derive the attribute for the service account.

Nomi SPN configurati in Active Directory per l'account di servizio di Reporting Services.SPNs Configured in Active Directory for the Reporting Services service account.

Per registrare i nomi SPN nel file di log di traccia del servizio Reporting ServicesReporting Services , è possibile abilitare temporaneamente la caratteristica Protezione estesa di Reporting ServicesReporting Services .To log the SPNs in the Reporting ServicesReporting Services service trace log file, you can enable the Reporting ServicesReporting Services Extended Protection feature temporarily.

  • Modificare il file di configurazione rsreportserver.config impostando gli elementi seguenti:Modify the configuration file rsreportserver.config by setting the following:

    <RSWindowsExtendedProtectionLevel>Allow</RSWindowsExtendedProtectionLevel>   
    <RSWindowsExtendedProtectionScenario>Any</RSWindowsExtendedProtectionScenario>  
    
  • Riavviare il servizio Reporting ServicesReporting Services e cercare voci simili alle seguenti nel file di log di traccia:Restart the Reporting ServicesReporting Services service and look for entries similar to the following in the trace log file:

    rshost!rshost!e44!01/14/2010-14:43:51:: i INFO: Registered valid SPNs list for endpoint 2: rshost!rshost!e44!01/14/2010-14:43:52:: i INFO: SPN Whitelist Added <Explicit> - \<HTTP/sqlpod064-13.w2k3.net>.  
    
  • I valori in <Explicit > conterranno i nomi SPN configurati in Active Directory per il Reporting ServicesReporting Services account del servizio.The values under <Explicit> will contain the SPNs configured in Active Directory for the Reporting ServicesReporting Services service account.

    Se non desidera continuare a usare la Protezione estesa, ripristinare le impostazioni predefinite per i valori di configurazione e riavviare l'account di servizio Reporting ServicesReporting Services.If you do not want continue using Extended Protection, then set the configuration values back to defaults and restart the Reporting ServicesReporting Services Service account.

<RSWindowsExtendedProtectionLevel>Off</RSWindowsExtendedProtectionLevel>  
<RSWindowsExtendedProtectionScenario>Proxy</RSWindowsExtendedProtectionScenario>  

Per altre informazioni, vedere Protezione estesa per l'autenticazione con Reporting ServicesFor more information see, Extended Protection for Authentication with Reporting Services

Scelta tra l'autenticazione negoziata Kerberos o NTLM da parte del browserHow the Browser Chooses Negotiated Kerberos or Negotiated NTLM

Quando si utilizza Internet Explorer per connettersi al server di report, nell'intestazione di autenticazione viene specificata l'autenticazione negoziata Kerberos o NTLM.When you use Internet Explorer to connect to the report server, it specifies either Negotiated Kerberos or NTLM on the authentication header. Di seguito vengono riportati i casi in cui viene utilizzata l'autenticazione NTLM anziché l'autenticazione Kerberos:NTLM is used instead of Kerberos when:

  • Invio della richiesta a un server di report locale.The request is sent to a local report server.

  • Invio della richiesta a un indirizzo IP del computer del server di report anziché a un'intestazione host oppure a un nome del server.The request is sent to an IP address of the report server computer rather than a host header or server name.

  • Blocco delle porte utilizzate per l'autenticazione Kerberos da parte del software firewall.Firewall software blocks ports used for Kerberos authentication.

  • Autenticazione Kerberos non abilitata nel sistema operativo di un server specifico.The operating system of a particular server does not have Kerberos enabled.

  • Presenza nel dominio di versioni precedenti di sistemi operativi client e server Windows che non supportano la caratteristica di autenticazione Kerberos disponibile nelle versioni più recenti del sistema operativo.The domain includes older versions of Windows client and server operating systems that do not support the Kerberos authentication feature built into newer versions of the operating system.

    Internet Explorer potrebbe inoltre scegliere l'autenticazione negoziata Kerberos o NTLM in base alla configurazione delle impostazioni LAN, dell'URL e del proxy.In addition, Internet Explorer might choose either Negotiated Kerberos or NTLM depending on how you configured URL, LAN, and proxy settings.

URL del server di reportReport Server URL

Se nell'URL è incluso un nome di dominio completoIf the URL includes a fully qualified domain name, Internet Explorer selects NTLM. o se nell'URL è specificato localhost, Internet Explorer seleziona l'autenticazione NTLM.If the URL specifies localhost, Internet Explorer selects NTLM. Se nell'URL è specificato il nome di rete del computer, Internet Explorer seleziona l'autenticazione con negoziazione, che avrà esito positivo o negativo in base all'esistenza o meno di un nome SPN per l'account del servizio del server di report.If the URL specifies the network name of the computer, Internet Explorer selects Negotiate, which will succeed or fail depending on whether an SPN exists for the Report Server service account.

Impostazioni LAN e del proxy nel clientLAN and Proxy Settings on the Client

Le impostazioni LAN e del proxy specificate in Internet Explorer possono determinare la scelta dell'autenticazione NTLM rispetto all'autenticazione Kerberos.LAN and proxy settings that you set in Internet Explorer can determine whether NTLM is chosen over Kerberos. Poiché le impostazioni LAN e del proxy variano tra le organizzazioni, non è possibile tuttavia determinare con precisione le impostazioni esatte che contribuiscono agli errori di autenticazione Kerberos.However, because LAN and proxy settings vary across organizations, it is not possible to precisely determine the exact settings that contribute to Kerberos authentication errors. Un'organizzazione potrebbe ad esempio applicare impostazioni del proxy che trasformano gli URL Intranet in URL con nome di dominio completo che vengono risolti durante le connessioni Internet.For example, your organization might enforce proxy settings that transform URLs from intranet URLs to fully-qualified domain name URLs that resolve over Internet connections. Se per tipi diversi di URL vengono utilizzati provider di autenticazione differenti, alcune connessioni potrebbero avere esito positivo sebbene sia previsto un esito negativo.If different authentication providers are used for different types of URLs, you might find that some connections succeed when you would have expected them to fail.

Se si verificano problemi di connessione che si ritiene siano dovuti a errori di autenticazione, è possibile provare a utilizzare combinazioni diverse di impostazioni LAN e del proxy per isolare il problema.If you encounter connection errors that you think are due to authentication failures, you can try different combinations of LAN and proxy settings to isolate the problem. In Internet Explorer le impostazioni LAN e del proxy sono presenti nella finestra di dialogo Impostazioni rete locale (LAN) . Per aprire tale finestra, fare clic su Impostazioni LAN nella scheda Connessione in Opzioni Internet.In Internet Explorer, LAN and proxy settings are on the Local Area Network (LAN) Settings dialog box, which you open by clicking LAN settings on the Connection tab of Internet Options.

Risorse esterneExternal resources

Vedere ancheSee Also

Autenticazione con il Server di Report Authentication with the Report Server
Concessione di autorizzazioni in un Server di Report in modalità nativa Granting Permissions on a Native Mode Report Server
File di configurazione RsReportServer.config RsReportServer.config Configuration File
Configurare l'autenticazione di base nel Server di Report Configure Basic Authentication on the Report Server
Configurazione personalizzata o autenticazione basata su form nel Server di Report Configure Custom or Forms Authentication on the Report Server
Protezione estesa per l'autenticazione con Reporting ServicesExtended Protection for Authentication with Reporting Services