レポート サーバー サービス アカウントの構成 (レポート サーバーの構成マネージャー)

適用対象: SQL Server 2016 (13.x) Reporting Services 以降 Power BI Report Server

Reporting Services は、レポート サーバー Web サービス、 Web ポータル、およびスケジュールされたレポート処理とサブスクリプションの配信に使用されるバックグラウンド処理アプリケーションを含んだ単一のサービスとして実装されます。 このトピックでは、サービス アカウントを最初に構成する方法と、Reporting Services 構成ツールを使用してアカウントやパスワードを変更する方法について説明します。

初期構成

レポート サーバー サービスのアカウントは、セットアップ時に定義されます。 このサービスは、ドメイン ユーザー アカウントまたは Virtual Service Accountなどのビルトイン アカウントで実行できます。 既定のアカウントはありません。インストール ウィザードの [Service Accounts] ページで指定するアカウントが、レポート サーバー サービスの初期アカウントになります。

重要

レポート サーバー Web サービスと Web ポータル は異なる ASP.NET アプリケーションですが、同一のレポート サーバー プロセス ID の単一のサービス アーキテクチャで実行されます。

Note

ドメイン コントローラーになっているコンピューターでは、ビルトイン Windows サービス アカウント (Local Service または Network Service) をレポート サーバーのサービス アカウントとして使用することはできません。

サービス アカウントの変更

サービス アカウント情報の表示と再構成には、常に Reporting Services 構成マネージャーを使用します。 サービス ID 情報は、内部の複数の場所に保存されています。 このツールを使用することで、アカウントまたはパスワードを変更するたびに、すべての参照がその変更に対応して確実に更新されます。 Reporting Services 構成マネージャーは、次に示す追加手順を実行することで、レポート サーバーを利用可能な状態に維持します。

• ローカル コンピューター上に作成されたレポート サーバー グループに、新しいアカウントを自動的に追加します。 このグループは、 Reporting Services ファイルをセキュリティで保護するアクセス制御リスト (ACL) 内で指定されます。

• レポート サーバー データベースをホストするために使用される SQL Server データベース エンジン インスタンスのログイン権限を自動的に更新します。 新しいアカウントは RSExecRoleに追加されます。

  古いアカウントのデータベース ログインは自動的に削除されません。 使用されなくなったするアカウントは削除するようにしてください。 詳細については、「レポート サーバー データベースの管理 (SSRS ネイティブ モード)」を参照してください。

  新しいサービス アカウントにデータベース権限が与えられるのは、そのサービス アカウントを最初に使用するようにレポート サーバー データベース接続を構成した場合に限られます。 ドメイン ユーザー アカウントまたは SQL Server データベース ログインを使用するようにレポート サーバー データベース接続を構成した場合は、サービス アカウントを更新しても接続情報には影響しません。

• 暗号化キーを自動的に更新し、新しいアカウントのプロファイル情報を取り込みます。

  Note

  レポート サーバーがスケールアウト配置の一部である場合、更新するレポート サーバーのみが影響を受けます。 配置内の他のレポート サーバーの暗号化キーは、サービス アカウントを変更しても影響を受けません。

レポート サーバー サービス アカウントを構成するには

1. Reporting Services 構成マネージャーを起動して、レポート サーバーに接続します。

2. [サービス アカウント] ページで、使用するアカウントの種類を示すオプションを選択します。

3. Windows ユーザー アカウントを選択した場合は、新しいアカウントとパスワードを指定します。 アカウントは、20 文字以下にする必要があり、特殊文字の、" / \ [ ] : ; | = , + * ? < > ' を使用できません。 <>これは Windows ユーザー アカウントの名前付けルールによるものです。

   レポート サーバーが Kerberos 認証をサポートするネットワークに配置されている場合、指定したドメイン ユーザー アカウントでレポート サーバーのサービス プリンシパル名 (SPN) を登録する必要があります。 詳細については、「レポート サーバーのサービス プリンシパル名 (SPN) の登録」を参照してください。

4. [Apply] をクリックします。

5. 対称キーをバックアップするかどうかを確認するメッセージが表示されたら、対称キーのバックアップ用のファイル名と場所を入力し、ファイルをロックおよびロック解除するためのパスワードを入力して [OK]をクリックします。

6. レポート サーバーがサービス アカウントを使用してレポート サーバー データベースに接続する場合は、新しいアカウントまたはパスワードを使用するように接続情報が更新されます。 接続情報を更新するには、データベースに接続する必要があります。 SQL Server [データベース接続] ダイアログ ボックスが表示されたら、データベースに接続する権限を持つ資格情報を入力し、 [OK] をクリックします。

7. 対称キーを復元するかどうかを確認するメッセージが表示されたら、手順 5. で指定したパスワードを入力し、 [OK] をクリックします。

8. [結果] ペインに表示される状態メッセージで、すべてのタスクが正常に完了したことを確認します。

アカウントの選択

最良の結果を得るには、ネットワーク接続権限があり、ネットワーク ドメイン コントローラーおよび会社の SMTP サーバーまたはゲートウェイにアクセスできるアカウントを指定します。 次の表に、アカウントの概要およびアカウントの使用に関する推奨事項を示します。

Note

グループ管理サービス アカウント (gMSA) は、レポート サーバー サービス アカウントとしてサポートされていません。

Account	説明
ドメイン ユーザー アカウント	レポート サーバーの操作に必要な最小限の権限を持つ Windows ドメイン ユーザー アカウントがある場合は、それを使用してください。 レポート サーバー サービスが他のアプリケーションから切り離されるため、ドメイン ユーザー アカウントの使用をお勧めします。 ネットワーク サービスなどの共有アカウントで複数のアプリケーションを実行すると、悪意のあるユーザーにレポート サーバーを制御されるリスクが増大します。これは、あるアプリケーションに対するセキュリティ侵害が、同じアカウントで実行されるすべてのアプリケーションへと容易に拡大するためです。 パスワードの有効期限ポリシーを実施する組織でドメイン ユーザー アカウントを使用する場合は、パスワードを定期的に変更する必要があります。 また、場合によってはサービスをユーザー アカウントに登録する必要があります。 詳細については、「レポート サーバーのサービス プリンシパル名 (SPN) の登録」を参照してください。 ローカル Windows ユーザー アカウントは使用しないでください。 一般に、ローカル アカウントには、他のコンピューター上のリソースにアクセスするための十分な権限が与えられていません。 ローカル アカウントを使用した場合にレポート サーバーの機能がどのように制限されるかについては、このトピックの「 ローカル アカウントの使用に関する注意点 」を参照してください。
仮想サービス アカウント	仮想サービス アカウントは Windows サービスを表します。 ネットワークへのログオン権限を持つ最小特権のビルトイン アカウントです。 使用できるドメイン ユーザー アカウントがない場合や、パスワード有効期限ポリシーが原因でサービスが中断されないようにする場合は、このアカウントの使用をお勧めします。
Network Service	ネットワーク サービス は、ネットワークへのログオン権限を持つ最小特権のビルトイン アカウントです。 [ネットワーク サービス] を選択する場合は、同じアカウントで実行される他のサービスの数を最小限に抑えてください。 あるアプリケーションに対するセキュリティ侵害が、同じアカウントで実行される他のすべてのアプリケーションのセキュリティを損なうことになります。
Local Service	ローカル サービス は、認証済みのローカル Windows ユーザー アカウントに似たビルトイン アカウントです。 ローカル サービス アカウントとして実行されるサービスは、資格情報を使用せずに NULL セッションとしてネットワーク リソースにアクセスします。 イントラネットに配置するシナリオでは、レポート サーバーがレポートを開いたりサブスクリプションを処理したりする前に、リモートのレポート サーバー データベースまたはネットワーク ドメイン コントローラーに接続してユーザーを認証する必要があるため、このアカウントは適していません。
Local System	ローカル システム は、レポート サーバーの実行には必要のない高い特権のアカウントです。 レポート サーバーのインストールにこのアカウントを使用することは避けてください。 代わりに、ドメイン アカウントまたは ネットワーク サービス を使用してください。

ローカル アカウントの使用に関する注意点

ローカル アカウントを使用する場合の主な注意点は、レポート サーバーがリモートのデータベース サーバー、メール サーバー、およびドメイン コントローラーにアクセスする必要があるかどうかということです。 レポート サーバーをローカル Windows ユーザー アカウント、ローカル サービス、またはローカル システムとして実行されるように構成する場合は、他の構成の設定方法やサブスクリプションの作成と配信に関して次の点を考慮する必要があります。

• ローカル アカウントでサービスを実行すると、後でリモートのレポート サーバー データベースへの接続を構成する場合に選択肢が限られます。 具体的には、リモートのレポート サーバー データベースを使用している場合、リモートの SQL Server インスタンスにサインインする権限のあるドメイン ユーザー アカウントまたは SQL Server データベース ユーザーを使用するように接続を構成する必要があります。

• ローカル アカウントでサービスを実行すると、サブスクリプションの作成に関して新しい要件が発生します。 レポート サーバーでは、サブスクリプションを作成するユーザーに関する情報が保存されます。 ユーザーがドメイン アカウントでログオン中にサブスクリプションを作成すると、サブスクリプションの処理時に、レポート サーバー サービスがドメイン コントローラーに接続してユーザーを認証しようとします。 サービスがローカル アカウントで実行されていると、レポート サーバーからリモート ドメイン コントローラーに認証の要求が送信される際にその要求が失敗します。 この制限に対処するには、カスタムのフォームベースの認証拡張機能を使用するか、レポート サーバーへのすべてのユーザー接続をローカル ユーザー アカウントで行うようにします。

• ローカル アカウントでサービスを実行すると、サブスクリプションの配信に関して新しい要件が発生します。 一部の配信拡張機能では、ユーザーのアカウント情報がサブスクリプション定義内に保持されます。 レポート サーバー サービスをローカル アカウントで実行しているときに、ドメイン ユーザー アカウントに基づく電子メール アドレスにレポートを送信すると、サービスがリモート ドメイン コントローラーに接続できず、送信先の電子メール アカウントを解決できません。

• ドメイン コントローラーになっているコンピューターでは、ビルトイン Windows サービス アカウント (Local Service または Network Service) をレポート サーバーのサービス アカウントとして使用することはできません。

次に示すガイドラインとリンクは、配置に最適な方法を決定するのに役立ちます。

• Windows サービス アカウントと権限の構成。

• サービスおよびサービス アカウントのセキュリティ計画ガイド。

期限切れのパスワードの更新

レポート サーバー サービスがドメイン アカウントで実行されている場合に、レポート サーバーの構成マネージャーでパスワードを更新する前に有効期限が切れると、新しいパスワードを指定するまでこのサービスは開始されません。

データベース エンジン のサービス アカウントのパスワードの有効期限が切れると、レポート サーバーへの接続時に rsReportServerDatabaseUnavailable エラーが発生します。 パスワードを再設定すると、このエラーは解決されます。

サービス ID の更新エラーのトラブルシューティング

サービス ID を変更すると、一連のイベントが開始されます。サービスが再起動され、パスワードで保護された暗号化キーが更新され、URL 予約が更新されます。また、サービス アカウントを使用してレポート サーバー データベースに接続している場合は、レポート サーバー データベースの接続情報が更新されます。 これらのイベントの状態を監視するには、ページの下部にある [結果] パネルで通知を確認します。 この処理中にエラーが発生した場合は、解決方法として次の方法を試してください。

• 対称キーを復元できない場合は、[暗号化キー] ページの [復元] を使用して、手動で復元を試行できます。 それでも復元できない場合は、暗号化されたコンテンツを削除することを検討してください。 データ ソース接続情報およびサブスクリプションは再作成する必要がありますが、残りのコンテンツはそのまま使用できます。 詳細については、「 Back Up and Restore Reporting Services Encryption Keys」を参照してください。

• サービスが開始されない場合は、[管理ツール] の Services コンソール アプリケーションを使用して、手動で再起動します。

• URL 予約エラーは、サービス アカウントを更新するときに発生する可能性があります。 各 URL 予約には、URL に対する要求を受け入れる権限をサービス アカウントに許可する任意のアクセス制御リスト (DACL) を含むセキュリティ記述子が含まれています。 アカウントの更新時に、URL を再作成して新しいアカウント情報で DACL を更新する必要があります。 URL 予約を再作成できない場合、アカウントが有効であるとわかっているときは、コンピューターを再起動してください。 エラーが引き続き発生する場合は、別のアカウントを使用してください。

次の手順

レポート サーバー URL の構成 (レポート サーバー構成マネージャー)レポート サーバー構成マネージャー (ネイティブ モード)